Chránime router a domácu sieť. Ako teda ochrániť smartfóny a tablety? Pohľad poskytovateľa
Hlavnou hrozbou pre bezpečnosť vašich údajov je World Wide Web. Ako poskytnúť spoľahlivú ochranu domáca sieť?
Používatelia sa často mylne domnievajú, že na ochranu domáceho počítača pripojeného na internet stačí obyčajný antivírus. Zavádzajúce sú aj nápisy na krabiciach smerovačov, v ktorých sa uvádza, že tieto zariadenia implementujú výkonný firewall na hardvérovej úrovni, ktorý dokáže chrániť pred hackerské útoky. Tieto tvrdenia sú len čiastočne pravdivé. Po prvé, oba nástroje vyžadujú správnu konfiguráciu. Mnohé antivírusové balíky však jednoducho nemajú takú funkciu ako firewall.
Medzitým kompetentná konštrukcia ochrany začína od samotného pripojenia k internetu. Moderné domáce siete zvyčajne používajú smerovače Wi-Fi využívajúce pripojenie ethernetovým káblom. Majú prístup na internet cez lokálnu sieť stolné počítače a notebooky, smartfóny a tablety. Navyše v jednom balíku sú samotné počítače a periférií, ako sú tlačiarne a skenery, z ktorých mnohé sú pripojené cez sieť.
Hackovaním vášho prístupového bodu môže útočník nielen používať vaše internetové pripojenie a ovládať zariadenia domáceho počítača, ale aj miesto World Wide Web nelegálny obsah pomocou vašej IP adresy, ako aj kradnúť informácie uložené na zariadeniach pripojených k sieti. Dnes si povieme o základných pravidlách ochrany sietí, zachovania ich funkčnosti a prevencie hackerov.
Hardvér
Väčšina moderných sieťových zariadení vyžaduje konfiguráciu bezpečnostných funkcií. Po prvé hovoríme o o rôznych filtroch, firewalloch a zoznamoch plánovaných prístupov. Neškolený používateľ môže nastaviť parametre ochrany, ale mali by ste poznať niektoré nuansy.
POUŽÍVAME ŠIFROVANIE PREVÁDZKY Pri nastavovaní prístupového bodu nezabudnite povoliť najrobustnejšie mechanizmy zabezpečenia premávky, vytvorte zložité, nezmyselné heslo a použite protokol WPA2 so šifrovacím algoritmom AES. WEP je zastaraný a môže byť napadnutý v priebehu niekoľkých minút.
PRAVIDELNE MENÍME VAŠE ÚČTOVNÉ ÚDAJE Nastavte si silné prístupové heslá a pravidelne ich meňte (napríklad raz za šesť mesiacov). Najjednoduchší spôsob hacknutia zariadenia, na ktorom používateľ zanechal štandardné prihlasovacie meno a heslo „admin“/„admin“.
SKRYTIE SSID Parameter SSID (Service Set Identifier) je verejný názov bezdrôtová sieť, ktorý sa vysiela vzduchom, aby ho zariadenia používateľov videli. Použitie možnosti skryť SSID vás ochráni pred začínajúcimi hackermi, ale potom na pripojenie nových zariadení budete musieť manuálne zadať parametre prístupového bodu.
RADY Pri prvom nastavovaní prístupového bodu zmeňte SSID, pretože tento názov odráža model smerovača, čo môže útočníkovi slúžiť ako pomôcka pri hľadaní zraniteľností.
KONFIGURÁCIA ZABUDOVANÉHO FIREWALL Smerovače sú vo väčšine prípadov vybavené jednoduchými verziami firewallov. S ich pomocou nebude možné dôsledne nakonfigurovať mnohé pravidlá pre bezpečnú prácu v sieti, ale môžete pokryť hlavné zraniteľnosti, alebo napríklad zakázať prevádzku emailových klientov.
OBMEDZENIE PRÍSTUPU PODĽA MAC ADRESY Pomocou zoznamov MAC adries (Media Access Control) môžete zakázať prístup do lokálnej siete tým zariadeniam, ktorých fyzické adresy nie sú zahrnuté v takomto zozname. Ak to chcete urobiť, budete musieť manuálne vytvoriť zoznam zariadení povolených v sieti. Každé zariadenie vybavené sieťové rozhranie, z výroby je mu priradená jedinečná MAC adresa. Dá sa rozpoznať pohľadom na štítok alebo označenia na zariadení alebo pomocou špeciálnych príkazov a sieťových skenerov. Ak existuje webové rozhranie alebo displej (napríklad smerovače a sieťové tlačiarne) MAC adresu nájdete v ponuke nastavení.
MAC adresu sieťovej karty vášho počítača nájdete v jej vlastnostiach. Ak to chcete urobiť, prejdite do ponuky „Ovládací panel | Siete a internet | Centrum riadenia siete a zdieľaný prístup“, potom v ľavej časti okna kliknite na odkaz „Zmeniť nastavenia adaptéra“, kliknite pravým tlačidlom myši na používanú sieťovú kartu a vyberte „Stav“. V okne, ktoré sa otvorí, musíte kliknúť na tlačidlo „Podrobnosti“ a pozrieť sa na riadok „Fyzická adresa“, kde sa zobrazí šesť párov čísel označujúcich MAC adresu vašej sieťovej karty.
Je ich viac rýchly spôsob. Ak ho chcete použiť, stlačte kombináciu klávesov „Win + R“, do zobrazeného riadku zadajte CMD a kliknite na „OK“. V okne, ktoré sa otvorí, zadajte príkaz:
Stlačte Enter". V zobrazených údajoch nájdite riadky „Physical Address“ – táto hodnota je MAC adresa.
Po fyzickej ochrane siete je potrebné postarať sa o softvérovú časť „obrany“. Pomôžu vám v tom komplexné antivírusové balíčky, firewally a skenery zraniteľnosti.
KONFIGURÁCIA PRÍSTUPU K ZLOŽKÁM Neumiestňujte priečinky so systémovými alebo jednoducho dôležitými údajmi do adresárov, ktoré sú prístupné používateľom internej siete. Okrem toho sa snažte nevytvárať priečinky, ku ktorým je možný prístup zo siete na systémovej jednotke. Ak nie je potrebná žiadna špeciálna potreba, je lepšie obmedziť všetky takéto adresáre atribútom „Iba na čítanie“. V opačnom prípade sa v zdieľanom priečinku môže usadiť vírus maskovaný ako dokumenty.
INŠTALÁCIA FIREWALLU Softvérové brány firewall sa zvyčajne ľahko konfigurujú a majú režim samoučenia. Pri jeho používaní sa program používateľa pýta, ktoré pripojenia schvaľuje a ktoré považuje za potrebné zakázať.
Odporúčame používať osobné brány firewall zabudované do takých populárnych komerčných produktov, ako sú Kaspersky Internet Security, Norton internet Security, NOD internetová bezpečnosť, ako aj bezplatné riešenia – napríklad Comodo Firewall. Štandardný firewall systému Windows sa, žiaľ, nemôže pochváliť spoľahlivým zabezpečením, ktoré poskytuje iba základné nastavenia portov.
Test zraniteľnosti
Najväčšie nebezpečenstvo pre výkon počítača a siete predstavujú programy obsahujúce „diery“ a nesprávne nakonfigurované bezpečnostné opatrenia.
XSpiderĽahko použiteľný program na skenovanie slabín vo vašej sieti. Umožní vám rýchlo identifikovať väčšinu aktuálnych problémov a tiež poskytnúť ich popis a v niektorých prípadoch aj riešenia. Bohužiaľ, pred časom sa nástroj stal plateným, a to je možno jeho jediná nevýhoda.
Nmap Nezisková sieťový skener s otvoreným zdrojový kód. Program bol pôvodne vyvinutý pre používateľov UNIX, ale neskôr bol pre jeho zvýšenú popularitu portovaný na Windows. Nástroj je určený pre skúsených používateľov. Nmap ma jednoduche a uzivatelsky prijemne rozhranie, ale pochopit data, ktore vytvara bez zakladnych znalostí, nebude jednoduche.
KIS 2013 Tento balík poskytuje nielen komplexnú ochranu, ale aj diagnostické nástroje. Môžete ho použiť na skenovanie nainštalované programy na prítomnosť kritických zraniteľností. Výsledkom tohto postupu je, že program predloží zoznam nástrojov, v ktorých je potrebné vyplniť medzery, a môžete zistiť podrobné informácie o každej z chýb a ako ju opraviť.
Tipy na inštaláciu siete
Svoju sieť môžete zabezpečiť bezpečnejšou nielen vo fáze jej nasadenia a konfigurácie, ale aj vtedy, keď už existuje. Pri zaistení bezpečnosti je potrebné zvážiť počet pripojených zariadení, umiestnenie sieťového kábla, distribúciu signálu Wi-Fi a typy prekážok, ktoré mu bránia.
UMIESTNENIE PRÍSTUPOVÉHO BODU Posúďte, akú veľkú oblasť potrebujete dostať do dosahu Wi-Fi. Ak potrebujete pokryť iba oblasť vášho bytu, nemali by ste bezdrôtový prístupový bod umiestňovať v blízkosti okien. Tým sa zníži riziko zachytenia a hacknutia slabo chráneného kanála zo strany strážcov – ľudí, ktorí hľadajú bezplatné prístupové body k bezdrôtovému internetu a tiež používajú nelegálne metódy. Treba brať do úvahy, že každá betónová stena znižuje výkon signálu na polovicu. Pamätajte tiež, že zrkadlo šatníkovej skrine je takmer nepreniknuteľná clona pre signál Wi-Fi, ktorý sa dá v niektorých prípadoch použiť na zabránenie šírenia rádiových vĺn v určitých smeroch v byte. Niektoré smerovače Wi-Fi navyše umožňujú hardvérovo nakonfigurovať silu signálu. Touto voľbou môžete umelo zabezpečiť prístup len používateľom nachádzajúcich sa v miestnosti s prístupovým bodom. Nevýhodou tejto metódy je možný nedostatok signálu v odľahlých častiach vášho bytu.
POKLÁDKA KÁBLOV Sieť organizovaná primárne pomocou kábla poskytuje najvyššiu rýchlosť a spoľahlivosť komunikácie a zároveň eliminuje možnosť, že by do nej niekto zasahoval, ako sa to môže stať pri pripojení Wi-Fi. možnosť zaklinenia sa do nej zvonku, ako sa to môže stať pri Wi-Fi pripojení.
Aby ste predišli neoprávnenému zapojeniu, pri ukladaní káblovej siete dbajte na ochranu vodičov pred mechanickým poškodením, používajte špeciálne káblové kanály a vyhýbajte sa miestam, kde sa kábel príliš prehýba alebo naopak nadmerne napína. Kábel neumiestňujte do blízkosti zdrojov silného rušenia alebo do oblasti so zlými podmienkami prostredia (kritické teploty a vlhkosť). Pre dodatočnú ochranu môžete použiť aj tienený kábel.
OCHRANA PRED PRVKAMI Káblové a bezdrôtové siete sú náchylné na účinky búrok a v niektorých prípadoch môže úder blesku poškodiť nielen sieťové zariadenia, resp. internetová karta, ale aj mnoho PC komponentov. Aby ste znížili riziko, nezabudnite najskôr uzemniť elektrické zásuvky a komponenty počítača. Použite zariadenia typu Pilot, ktoré používajú ochranné obvody pred rušením a prepätím.
okrem toho najlepšie riešenie sa môže stať zdrojom neprerušiteľný zdroj napájania(UPS). Moderné verzie obsahujú stabilizátory napätia a autonómne napájanie, ako aj špeciálne konektory na pripojenie sieťového kábla cez ne. Ak blesk náhle zasiahne zariadenie poskytovateľa internetu, takýto UPS nedovolí, aby sa na sieťovú kartu vášho PC dostal škodlivý nárazový prúd. Je potrebné pripomenúť, že v každom prípade sú mimoriadne dôležité uzemňovacie zásuvky alebo samotné zariadenie.
Používanie nástrojov na vytváranie tunelov VPN
Pomerne spoľahlivým spôsobom ochrany informácií prenášaných cez sieť sú tunely VPN (Virtual Private Network). Technológia tunelovania vám umožňuje vytvoriť šifrovaný kanál, cez ktorý sa prenášajú údaje medzi niekoľkými zariadeniami. Organizovanie VPN na zlepšenie bezpečnosti informácií je možné v rámci domácej siete, ale je to veľmi náročné na prácu a vyžaduje si špeciálne znalosti. Najbežnejšou metódou používania VPN je pripojenie k domácemu počítaču zvonku, napríklad z pracovného počítača. Dáta prenášané medzi vašimi strojmi budú teda dobre chránené šifrovaním prevádzky. Na tieto účely je lepšie použiť veľmi spoľahlivý bezplatný Program Hamachi. V tomto prípade budú potrebné len základné znalosti organizácie VPN, čo je v rámci možností netrénovaného používateľa.
Úvod
Relevantnosť tejto témy spočíva v tom, že zmeny prebiehajúce v ekonomickom živote Ruska - vytvorenie finančného a úverového systému, podniky rôznych foriem vlastníctva atď. - majú významný vplyv na otázky bezpečnosti informácií. Dlho bol u nás len jeden majetok – štátny majetok, takže informácie a tajomstvá boli tiež iba štátnym majetkom, ktorý chránili mocné špeciálne služby. Problémy informačná bezpečnosť sa neustále zhoršuje prenikaním technických prostriedkov na spracovanie a prenos dát a predovšetkým počítačových systémov takmer do všetkých sfér spoločenskej činnosti. Ciele útokov môžu byť samy osebe technické prostriedky(počítače a periférie) ako materiálne objekty, softvér a databázy, pre ktoré sú technické prostriedky prostredím. Každé zlyhanie počítačovej siete nie je len „morálnou“ škodou pre zamestnancov podniku a správcov siete. S rozvojom elektronických platobných technológií, „bezpapierového“ toku dokumentov a iných môže vážne zlyhanie miestnych sietí jednoducho paralyzovať prácu celých korporácií a bánk, čo vedie k značným materiálnym stratám. Nie je náhoda, že ochrana údajov v počítačové siete sa stáva jedným z najpálčivejších problémov modernej informatiky. Doposiaľ boli sformulované dva základné princípy informačnej bezpečnosti, ktoré by mali zabezpečiť: - integritu údajov - ochranu pred zlyhaniami vedúcimi k strate informácií, ako aj neoprávnenému vytvoreniu alebo zničeniu údajov. - dôvernosť informácií a zároveň ich dostupnosť všetkým oprávneným používateľom. Treba tiež poznamenať, že určité oblasti činnosti (bankové a finančné inštitúcie, informačných sietí, systémy kontrolovaná vládou, obranné a špeciálne štruktúry) si vyžadujú špeciálne opatrenia na zabezpečenie dát a kladú zvýšené nároky na prevádzkovú spoľahlivosť informačné systémy, v súlade s povahou a dôležitosťou úloh, ktoré riešia.
Ak je počítač pripojený k lokálnej sieti, potom môže byť tento počítač a informácie na ňom uložené neoprávnené osoby z lokálnej siete.
Ak je lokálna sieť pripojená k iným lokálnym sieťam, používatelia z nich sa pridajú do zoznamu možných neoprávnených používateľov. vzdialené siete. Nebudeme hovoriť o dostupnosti takéhoto počítača zo siete alebo kanálov, cez ktoré sú pripojené lokálne siete, pretože na výstupoch z miestnych sietí sú pravdepodobne zariadenia, ktoré šifrujú a riadia prevádzku a boli prijaté potrebné opatrenia.
Ak je počítač pripojený priamo cez poskytovateľa k externej sieti, napríklad cez modem na internet, na vzdialenú interakciu s jeho lokálnou sieťou, potom je počítač a informácie na ňom potenciálne prístupné hackerom z internetu. A najnepríjemnejšia vec je, že prostredníctvom tohto počítača môžu hackeri pristupovať aj k zdrojom miestnej siete.
Prirodzene, pre všetky takéto spojenia buď pravidelné prostriedky riadenie prístupu operačného systému, alebo špecializované prostriedky ochrany pred neoprávneným prístupom, prípadne kryptografické systémy na úrovni konkrétnych aplikácií, prípadne oboje.
Všetky tieto opatrenia však, žiaľ, nemôžu zaručiť požadovanú bezpečnosť počas sieťových útokov, čo je vysvetlené nasledujúcimi hlavnými dôvodmi:
Operačné systémy (OS), najmä WINDOWS, sú softvérové produkty vysokej zložitosti, na tvorbe ktorých sa podieľajú veľké tímy vývojárov. Podrobná analýza týchto systémov je mimoriadne náročná. V tejto súvislosti nie je možné u nich spoľahlivo zdôvodniť absenciu štandardných funkcií, chýb alebo nezdokumentovaných funkcií náhodne alebo zámerne ponechaných v OS, ktoré by mohli byť zneužité prostredníctvom sieťových útokov.
V multitaskingovom OS, najmä WINDOWS, môže súčasne bežať mnoho rôznych aplikácií...
V tomto prípade musí poskytovateľ aj jeho klient dodržiavať pravidlá informačnej bezpečnosti. Inými slovami, existujú dva body zraniteľnosti (na strane klienta a na strane poskytovateľa) a každý z účastníkov tohto systému je nútený brániť svoje záujmy.
Pohľad zo strany klienta
Podnikanie v elektronickom prostredí si vyžaduje vysokorýchlostné kanály na prenos dát, a ak sa doteraz hlavné peniaze poskytovateľov zarábali na pripojení na internet, dnes majú klienti pomerne prísne požiadavky na bezpečnosť ponúkaných služieb.
Na Západe sa objavilo množstvo hardvérových zariadení, ktoré poskytujú bezpečné pripojenie k domácim sieťam. Spravidla sa nazývajú „SOHO riešenia“ a kombinujú hardvérový firewall, hub s niekoľkými portami, DHCP server a funkcie VPN routera. Touto cestou sa vydali napríklad vývojári Cisco PIX Firewall a WatchGuard FireBox. Softvérové firewally zostávajú len na osobnej úrovni a používajú sa ako doplnkový prostriedok ochrany.
Vývojári hardvérových firewallov triedy SOHO sa domnievajú, že tieto zariadenia by mali byť ľahko spravovateľné, „transparentné“ (to znamená neviditeľné) pre používateľa domácej siete a náklady by mali zodpovedať výške priameho poškodenia spôsobeného možné akcie votrelci. Priemerné poškodenie pre úspešný útok na domácej siete odhaduje sa na približne 500 dolárov.
Na ochranu domácej siete môžete použiť softvérový firewall alebo jednoducho odstrániť nepotrebné protokoly a služby z konfiguračných nastavení. Najlepšou možnosťou je, ak poskytovateľ otestuje niekoľko osobných firewallov, nakonfiguruje na nich vlastný bezpečnostný systém a poskytne im technickú podporu. Konkrétne to robí poskytovateľ 2COM, ktorý svojim klientom ponúka sadu odskúšaných obrazoviek a tipov na ich nastavenie. V najjednoduchšom prípade sa odporúča vyhlásiť takmer všetky sieťové adresy za nebezpečné, okrem adries lokálny počítač a brána, cez ktorú je nadviazané pripojenie na internet. Ak softvérová alebo hardvérová obrazovka na strane klienta zistí známky narušenia, je potrebné to okamžite nahlásiť službe technická podpora poskytovateľa.
Je potrebné poznamenať, že firewall chráni pred vonkajšími hrozbami, ale nechráni pred chybami používateľa. Preto, aj keď poskytovateľ alebo klient nainštaloval nejaký druh bezpečnostného systému, obe strany musia stále dodržiavať niekoľko pomerne jednoduchých pravidiel, aby sa minimalizovala pravdepodobnosť útokov. Po prvé, mali by ste na internete nechať čo najmenej osobných údajov, snažiť sa vyhnúť plateniu kreditnými kartami alebo aspoň skontrolovať, či má server digitálny certifikát. Po druhé, nemali by ste sťahovať z internetu a spúšťať v počítači žiadne programy, najmä bezplatné. Neodporúča sa ani externe sprístupňovať lokálne zdroje, inštalovať podporu pre nepotrebné protokoly (napríklad IPX alebo SMB) alebo používať predvolené nastavenia (napríklad skrývanie prípon súborov).
Zvlášť nebezpečné je spúšťanie skriptov pripojených k písmenám Email, ale je lepšie nepoužívať Outlook vôbec, pretože väčšina vírusov je napísaná špeciálne pre tohto e-mailového klienta. V niektorých prípadoch je bezpečnejšie používať webové e-mailové služby na prácu s e-mailom, pretože vírusy sa nimi spravidla nešíria. Napríklad poskytovateľ 2COM ponúka bezplatnú webovú službu, ktorá vám umožňuje čítať informácie z externého prostredia poštových schránok a nahrať do lokálny stroj iba tie správy, ktoré potrebujete.
Poskytovatelia zvyčajne neposkytujú služby zabezpečeného prístupu. Faktom je, že zraniteľnosť klienta často závisí od jeho vlastného konania, takže v prípade úspešného útoku je dosť ťažké dokázať, kto presne urobil chybu - klient alebo poskytovateľ. Okrem toho je stále potrebné zaznamenať skutočnosť útoku, a to len pomocou osvedčených a certifikovaných prostriedkov. Posúdenie škôd spôsobených hackom tiež nie je jednoduché. Spravidla sa určuje iba jeho minimálna hodnota, charakterizovaná časom na obnovenie normálnej prevádzky systému.
Poskytovatelia môžu zaistiť bezpečnosť poštových služieb kontrolou všetkej prichádzajúcej pošty pomocou antivírusové programy, ako aj blokovanie všetkých protokolov okrem hlavných (Web, email, novinky, ICQ, IRC a niektoré ďalšie). Operátori nemôžu vždy sledovať, čo sa deje na interných segmentoch domácej siete, ale keďže sú nútení brániť sa vonkajším útokom (čo je v súlade so zásadami ochrany používateľov), zákazníci musia spolupracovať so svojimi bezpečnostnými tímami. Malo by sa pamätať na to, že poskytovateľ nezaručuje absolútnu bezpečnosť používateľov - sleduje iba svoj vlastný komerčný zisk. Útoky na predplatiteľov sú často spojené s prudkým nárastom objemu informácií, ktoré sa im prenášajú, čím operátor v skutočnosti zarába peniaze. To znamená, že záujmy poskytovateľa môžu byť niekedy v rozpore so záujmami spotrebiteľa.
Pohľad poskytovateľa
Pre poskytovateľov služieb domácej siete sú hlavným problémom neoprávnené pripojenia a vysoká interná prevádzka. Domáce siete sa často používajú na hosťovanie hier, ktoré nepresahujú lokálnu sieť jednej obytnej budovy, ale môžu viesť k zablokovaniu celých jej segmentov. V tomto prípade je práca na internete ťažká, čo spôsobuje spravodlivú nespokojnosť komerčných klientov.
Z hľadiska nákladov majú poskytovatelia záujem na minimalizácii nákladov na zabezpečenie a monitorovanie svojej domácej siete. Zároveň nemôžu vždy zabezpečiť správnu ochranu pre klienta, pretože si to vyžaduje určité náklady a obmedzenia zo strany používateľa. Bohužiaľ, nie všetci predplatitelia s tým súhlasia.
Domáce siete sú zvyčajne štruktúrované nasledovne: existuje centrálny smerovač, ktorý má prístupový kanál na internet a je k nemu pripojená rozsiahla sieť bloku, domu a vchodu. Prirodzene, router funguje ako firewall, ktorý oddeľuje domácu sieť od zvyšku internetu. Implementuje niekoľko bezpečnostných mechanizmov, ale najčastejšie sa používa preklad adries, ktorý umožňuje súčasne skryť vnútornú sieťovú infraštruktúru a uložiť skutočné IP adresy poskytovateľa.
Niektorí poskytovatelia však svojim klientom dávajú skutočné IP adresy (napríklad sa to deje v sieti mikrodistriktu Mitino, ktorý je prepojený s moskovským poskytovateľom MTU-Intel). V tomto prípade sa počítač používateľa stáva priamo dostupným z internetu, čo sťažuje jeho ochranu. Nie je prekvapujúce, že bremeno poskytovania informačná bezpečnosť pripadá výlučne na predplatiteľov, zatiaľ čo operátorovi zostáva jediná cesta kontrolu nad ich činnosťou – podľa IP a MAC adries. Moderné ethernetové adaptéry však umožňujú programovo meniť oba parametre na úrovni operačného systému a poskytovateľ je voči bezohľadnému klientovi bezbranný.
Samozrejme, niektoré aplikácie vyžadujú pridelenie skutočných IP adries. Poskytnutie skutočnej statickej IP adresy klientovi je dosť nebezpečné, pretože ak je server s touto adresou úspešne napadnutý, sprístupní sa cez ňu zvyšok internej siete.
Jedno z kompromisných riešení problému bezpečné používanie IP adresy v domácej sieti predstavujú zavedenie technológie VPN v kombinácii s mechanizmom pre dynamickú distribúciu adries. Stručne povedané, schéma je nasledovná. Z klientskeho počítača do smerovača sa vytvorí šifrovaný tunel pomocou protokolu PPTP. Pretože tento protokol je podporovaný operačným systémom Windows od verzie 95 a teraz je implementovaný pre ostatné operačné systémy, klient nemusí inštalovať ďalší softvér – stačí mu nakonfigurovať už nainštalované komponenty. Keď sa používateľ pripojí na internet, najprv nadviaže spojenie s routerom, potom sa prihlási, dostane IP adresu a až potom môže začať pracovať na internete.
Tento typ pripojenia je ekvivalentom bežného dial-up pripojenia s tým rozdielom, že pri jeho inštalácii si môžete nastaviť takmer akúkoľvek rýchlosť. Dokonca aj vnorené podsiete VPN budú fungovať podľa tejto schémy, ktorú možno použiť na vzdialené pripojenie klientov k podnikovej sieti. Počas každej používateľskej relácie poskytovateľ dynamicky prideľuje skutočnú alebo virtuálnu IP adresu. Mimochodom, skutočná IP adresa 2COM stojí o 1 dolár mesačne viac ako virtuálna.
Na implementáciu pripojení VPN vyvinula spoločnosť 2COM svoj vlastný špecializovaný smerovač, ktorý vykonáva všetky funkcie uvedené vyššie a ceny služieb. Je potrebné poznamenať, že za šifrovanie paketov nie je zodpovedná CPU, ale na špecializovanom koprocesore, ktorý vám umožňuje súčasne podporovať až 500 virtuálnych kanálov VPN. Jeden takýto krypto router v sieti 2COM slúži na pripojenie viacerých domov naraz.
Vo všeobecnosti najlepším možným spôsobom ochrana domácej siete je úzka interakcia medzi poskytovateľom a klientom, v rámci ktorej má každý možnosť obhajovať svoje záujmy. Na prvý pohľad sa metódy zabezpečenia domácej siete zdajú podobné tým, ktoré sa používajú na zabezpečenie podniková bezpečnosť, Ale v skutočnosti to tak nie je. Je zvykom, že firmy stanovujú pomerne prísne pravidlá správania sa zamestnancov, dodržiavajúc danú politiku informačnej bezpečnosti. Táto možnosť nefunguje v domácej sieti: každý klient vyžaduje svoje vlastné služby a potrebuje vytvoriť všeobecné pravidlá správanie nie je vždy úspešné. V dôsledku toho je vybudovanie spoľahlivého bezpečnostného systému domácej siete oveľa náročnejšie ako zaistenie bezpečnosti podnikovej siete.
PNST301-2018/ISO/IEC 24767-1:2008
PREDBEŽNÝ NÁRODNÝ ŠTANDARD RUSKEJ FEDERÁCIE
Informačné technológie
ZABEZPEČENIE DOMÁCEJ SIETE
Bezpečnostné požiadavky
Informačné technológie. Zabezpečenie domácej siete. Časť 1. Bezpečnostné požiadavky
OKS 35.110, 35.200, 35.240.99
Platné od 01.02.2019
Predslov
Predslov
1 PRIPRAVENÉ Federálnou štátnou rozpočtovou vzdelávacou inštitúciou vysokoškolského vzdelávania „Ruská ekonomická univerzita pomenovaná po G.V. Plechanovovi“ (FSBEI HE „REU pomenovaná po G.V. Plechanovovi“) na základe vlastného prekladu anglickej verzie medzinárodného štandardu uvedeného v ods. 4
2 PREDSTAVENÉ Technickým výborom pre normalizáciu TC 22 „Informačné technológie“
3SCHVÁLENÉ A NADOBUDNUTÉ ÚČINNOSTI nariadením Federálnej agentúry pre technickú reguláciu a metrológiu zo 4. septembra 2018 N38-pnst
4Táto norma je identická s medzinárodnou normou ISO/IEC 24767-1:2008* „Informačné technológie – Bezpečnosť domácej siete – Časť 1: Bezpečnostné požiadavky“, IDT)
________________
*Prístup k medzinárodným a zahraničným dokumentom uvedeným tu a ďalej v texte je možné získať kliknutím na odkaz na stránku. - Poznámka od výrobcu databázy.
Pravidlá uplatňovania tejto normy a vykonávania jej monitorovania sú stanovené v GOST R 1.16-2011 (oddiely 5 a 6).
Federálna agentúra pre technickú reguláciu a metrológiu zhromažďuje informácie o praktickom uplatňovaní tejto normy. Tieto informácie, ako aj pripomienky a návrhy k obsahu normy je možné zaslať najneskôr 4 dni vopred. mesiacov pred uplynutím doby platnosti spracovateľovi tohto štandardu na adresu: 117997 Moskva, Stremyanny Lane, 36, Federálna štátna rozpočtová vzdelávacia inštitúcia vyššieho vzdelávania "REU"pomenovaný po G.V. Plechanovovi“ a Federálnej agentúre pre technickú reguláciu a metrológiu na adrese: 109074 Moskva, Kitaygorodsky proezd, 7, budova 1.
V prípade zrušenia tejto normy budú príslušné informácie zverejnené v mesačnom informačnom indexe „Národné normy“ a budú zverejnené aj na oficiálnej webovej stránke Federálnej agentúry pre technickú reguláciu a metrológiu na internete (www.gost.ru)
Úvod
ISO (Medzinárodná organizácia pre normalizáciu) a IEC (Medzinárodná elektrotechnická komisia) tvoria špecializovaný systém pre celosvetovú normalizáciu. Vládne orgány, ktoré sú členmi ISO alebo IEC, sa podieľajú na vývoji medzinárodných noriem prostredníctvom technických komisií. Na vývoji normy v konkrétnej oblasti sa môže podieľať každý zainteresovaný orgán, ktorý je členom ISO alebo IEC. Do práce sú zapojené aj ďalšie medzinárodné organizácie, vládne aj mimovládne, ktoré sú v kontakte s ISO a IEC.
V oblasti informačných technológií ISO a IEC zriadili Spoločnú technickú komisiu ISO/IEC JTC 1. Návrhy medzinárodných noriem pripravené Spoločnou technickou komisiou sa rozposielajú národným komisiám na hlasovanie. Publikácia ako medzinárodná norma vyžaduje súhlas aspoň 75 % hlasujúcich národných výborov.
Formálne rozhodnutia alebo dohody IEC a ISO o technických záležitostiach vyjadrujú, pokiaľ je to možné, medzinárodný konsenzus o príslušných otázkach, keďže každá technická komisia má zástupcov zo všetkých príslušných národných členských komisií IEC a ISO.
Publikácie IEC, ISO a ISO/IEC sú vo forme odporúčaní pre medzinárodné použitie a sú prijímané národnými výbormi – členmi IEC a ISO práve v tomto chápaní. Hoci bolo vynaložené maximálne úsilie na zabezpečenie presnosti technický obsah Publikácie IEC, ISO a ISO/IEC, IEC alebo ISO nenesú žiadnu zodpovednosť za spôsob, akým sa používajú, ani za ich nesprávnu interpretáciu koncovým používateľom.
V záujme zabezpečenia medzinárodného zjednotenia (jednotného systému) sa národné výbory IEC a ISO zaväzujú zabezpečiť maximálnu transparentnosť pri aplikácii medzinárodných noriem IEC, ISO a ISO/IEC, pokiaľ ide o národné a regionálne podmienky danej krajiny. povoliť. Akýkoľvek nesúlad medzi publikáciami ISO/IEC a príslušnými národnými alebo regionálnymi normami musí byť v týchto normách jasne uvedený.
ISO a IEC neposkytujú postupy označovania a nezodpovedajú za žiadne zariadenie, ktoré si nárokuje zhodu s niektorou z noriem ISO/IEC.
Všetci používatelia by sa mali uistiť, že používajú najnovšie vydanie tejto publikácie.
IEC alebo ISO, ich manažment, zamestnanci, zamestnanci alebo zástupcovia vrátane jednotlivých expertov a členov ich technických komisií a členovia národných komisií IEC alebo ISO nezodpovedajú za nehody, škody na majetku alebo iné škody, priame alebo nepriame, alebo za náklady (vrátane nákladov na právne zastupovanie) vzniknuté v súvislosti s publikovaním alebo používaním tejto publikácie ISO/IEC alebo inej publikácie IEC, ISO alebo ISO/IEC.
Osobitná pozornosť sa vyžaduje regulačnej dokumentácii citovanej v tejto publikácii.Na správne použitie tejto publikácie je potrebné použiť referenčné dokumenty.
Upozorňujeme na skutočnosť, že niektoré prvky tejto medzinárodnej normy môžu byť predmetom patentových práv. ISO a IEC nie sú zodpovedné za určenie akýchkoľvek alebo všetkých takýchto patentových práv.
Medzinárodná norma ISO/IEC 24767-1 bola vyvinutá Spoločnou technickou komisiou ISO/IEC 1, Informačné technológie, Subkomisia 25, Prepojenia zariadení informačnej technológie.
Zoznam všetkých aktuálne dostupných častí radu ISO/IEC 24767 pod všeobecným názvom „Informačné technológie – Bezpečnosť domácej siete“ je uvedený na stránke IEC.
1 oblasť použitia
Táto norma definuje požiadavky na ochranu domácej siete pred internými alebo externými hrozbami. Norma slúži ako základ pre vývoj bezpečnostných systémov, ktoré chránia vnútorné prostredie pred rôznymi hrozbami.
Bezpečnostné požiadavky sú v tejto norme riešené relatívne neformálnym spôsobom. Hoci mnohé z problémov diskutovaných v tejto norme poskytujú návod na návrh bezpečnostných systémov pre intranet aj internet, ide o neformálne požiadavky.
Pripojené k internej (domácej) sieti rôzne zariadenia(pozri obrázok 1). Zariadenia „sieťové zariadenia“, „AV zábavné“ zariadenia a „informačné aplikácie“ majú rôzne funkcie a výkonnostné charakteristiky. Tento štandard poskytuje nástroje na analýzu rizík každého zariadenia pripojeného k sieti a určenie bezpečnostných požiadaviek pre každé zariadenie.
2Pojmy, definície a skratky
2.1 Termíny a definície
V tomto štandarde sa používajú nasledujúce pojmy a definície:
2.1.1 spotrebná elektronika(hnedý tovar): Audio/video zariadenia, ktoré sa primárne používajú na zábavné účely, ako napríklad televízor alebo DVD rekordér.
2.1.2dôvernosti(dôvernosť): Vlastnosť, ktorá zabezpečuje neprístupnosť a nesprístupnenie informácií neoprávneným osobám, organizáciám alebo procesom.
2.1.3 autentifikácia údajov(overenie údajov): Služba používaná na zabezpečenie správneho overenia nárokovaného zdroja údajov.
2.1.4 integrita údajov(integrita údajov): Vlastnosť, ktorá overuje, že údaje neboli zmenené alebo zničené neoprávneným spôsobom.
2.1.5 overenie užívateľa(overenie používateľa): Služba, ktorá zaisťuje, že overovacie informácie poskytnuté účastníkom komunikácie sú správne overené, zatiaľ čo autorizačná služba zaisťuje, že identifikovaný a oprávnený používateľ má prístup k konkrétne zariadenie alebo aplikáciu domácej siete.
2.1.6 Spotrebiče(biela technika): Zariadenia používané pri každodennom používaní, ako je klimatizácia, chladničky atď.
2.2 Skratky
V tejto norme sa používajú nasledujúce skratky:
3 Súlad
Táto norma poskytuje návod bez akýchkoľvek požiadaviek na zhodu.
4Bezpečnostné požiadavky na interné domáce elektronické systémy a siete
4.1 Všeobecné ustanovenia
S rýchlym rozvojom internetu a súvisiacich sieťových technológií bolo možné nadviazať spojenie medzi počítačmi v kanceláriách a domácnostiach s vonkajším svetom, čo poskytuje prístup k rôznym zdrojom. Dnes sa technológie, ktoré sú základom tohto úspechu, dostali do našich domácností a umožňujú pripojiť spotrebiče rovnako osobné počítače. Používateľom teda umožňujú nielen monitorovať a ovládať svoje domáce spotrebiče v domácnosti aj mimo nej, ale tiež vytvárať nové služby a možnosti, ako je diaľkové ovládanie a údržba domácich spotrebičov. To znamená, že bežné počítačové prostredie doma sa premení na internú domácu sieť, spájajúcu množstvo zariadení, ktorých bezpečnosť bude tiež potrebné zabezpečiť.
Je potrebné, aby obyvatelia, užívatelia a majitelia domu aj systému dôverovali domácemu elektronickému systému. Domáci elektronický bezpečnostný cieľ podporné systémy dôveru v systém. Od mnohých domácich komponentov elektronický systém sú v prevádzke nepretržite, 24 hodín denne a automaticky si vymieňajú informácie s okolitým svetom, informačná bezpečnosť je nevyhnutná na zabezpečenie dôvernosti, integrity a dostupnosti údajov a systému.Zo správne implementovaného bezpečnostného riešenia vyplýva, že napr. systém a uložené, prichádzajúce a odchádzajúce údaje dostávajú iba oprávnení používatelia a procesy a že iba oprávnení používatelia môžu systém používať a vykonávať v ňom zmeny.
Bezpečnostné požiadavky na sieť HES možno opísať niekoľkými spôsobmi. Tento štandard je obmedzený na IT bezpečnosť siete HES. IT bezpečnosť však musí presahovať rámec samotného systému, pretože domácnosť musí fungovať, aj keď v obmedzenej kapacite, v prípade zlyhania IT systému. sú stratené. V takýchto prípadoch možno pochopiť, že existujú bezpečnostné požiadavky, ktoré nemôžu byť súčasťou samotného systému, ale systém by nemal zakazovať implementáciu záložných riešení.
Existuje množstvo ľudí, ktorí sa zaujímajú o otázky bezpečnosti. Domácemu elektronickému systému musia dôverovať nielen obyvatelia a majitelia, ale aj poskytovatelia služieb a obsahu. Ten musí zabezpečiť, aby sa služby a obsah, ktorý ponúkajú, používali iba povoleným spôsobom. Jedným zo základov zabezpečenia systému však je, že zaň by mal byť zodpovedný konkrétny bezpečnostný administrátor. Je zrejmé, že takáto zodpovednosť by mala byť zverená obyvateľom (vlastníkom systému). Nezáleží na tom, či to správca robí osobne alebo to outsourcuje. V každom prípade zodpovednosť nesie správca bezpečnostného systému. Dôvera poskytovateľov služieb a obsahu v domáci elektronický systém a ich dôvera, že používatelia využívajú ich služby a obsah primerane, je určená zmluvnými záväzkami medzi zmluvnými stranami. Zmluva môže napríklad obsahovať zoznam funkcií, komponentov alebo procesov, ktoré musí systém domácej elektroniky podporovať.
Architektúra domáceho elektronického systému je odlišná pre rôzne typy domov. Každý model môže mať svoj vlastný špecifický súbor bezpečnostných požiadaviek. Nižšie sú uvedené popisy troch rôznych modelov domácich elektronických systémov s rôznymi súbormi bezpečnostných požiadaviek.
Je zrejmé, že niektoré bezpečnostné požiadavky sú dôležitejšie ako iné. Je teda jasné, že podpora niektorých protiopatrení bude voliteľná. Okrem toho sa protiopatrenia môžu líšiť v kvalite a nákladoch. Na riadenie a udržiavanie takýchto protiopatrení môžu byť potrebné aj rôzne zručnosti. Táto norma sa pokúša objasniť zdôvodnenie uvedených bezpečnostných požiadaviek, a tým umožňuje dizajnérom domácich elektronických systémov určiť, ktoré bezpečnostné prvky by mal konkrétny produkt podporovať. domáci systém a berúc do úvahy požiadavky na kvalitu a úsilie v oblasti riadenia a údržby, ktorý mechanizmus by sa mal vybrať pre takéto funkcie.
Bezpečnostné požiadavky internej siete závisia od definície bezpečnosti a „domov“ a toho, čo znamená „sieť“ v tejto domácnosti. Ak je sieť jednoducho prepojením jedného počítača s tlačiarňou alebo káblovým modemom, potom je zabezpečenie domácej siete rovnako jednoduché ako zabezpečenie tohto prepojenia a zariadenia, ktoré pripája.
Ak sú však v doméne desiatky, ak nie stovky, sieťových zariadení, z ktorých niektoré patria domácnosti ako celku a niektoré patria ľuďom v domácnosti, bude potrebné zaviesť sofistikovanejšie bezpečnostné opatrenia.
4.2 Zabezpečenie domáceho elektronického systému
4.2.1 Definícia domáceho elektronického systému a zabezpečenia systému
Systém domácej elektroniky a sieť možno definovať ako súbor prvkov, ktoré spracúvajú, prenášajú, ukladajú a spravujú informácie, poskytujúce konektivitu a integráciu mnohých výpočtových, riadiacich, monitorovacích a komunikačných zariadení, ktoré sa nachádzajú v domácnosti.
Okrem toho domáce elektronické systémy a siete zabezpečujú prepojenie medzi zábavnými a informačnými zariadeniami, ako aj komunikačnými a bezpečnostnými zariadeniami a domácimi spotrebičmi v domácnosti. Takéto zariadenia a zariadenia si budú vymieňať informácie, možno ich ovládať a monitorovať v dome alebo na diaľku. V súlade s tým budú všetky interné domáce siete vyžadovať určité bezpečnostné mechanizmy na ochranu ich každodennej prevádzky.
Sieťovú a informačnú bezpečnosť možno chápať ako schopnosť siete alebo informačného systému odolávať náhodným udalostiam alebo škodlivým akciám na určitej úrovni. Takéto udalosti alebo akcie môžu ohroziť dostupnosť, autentickosť, autentickosť a dôvernosť uložených alebo prenášaných údajov, ako aj súvisiacich služieb ponúkaných prostredníctvom takýchto sietí a systémov.
Incidenty informačnej bezpečnosti možno zoskupiť do nasledujúcich skupín:
Elektronická komunikácia môže byť odpočúvaná a údaje môžu byť kopírované alebo pozmenené. Výsledkom môže byť škoda spôsobená porušením práva jednotlivca na dôvernosť a zneužitím zachytených údajov;
Neoprávnený prístup k počítaču a interným počítačovým sieťam sa zvyčajne vykonáva so zlým úmyslom skopírovať, zmeniť alebo zničiť údaje a môže sa rozšíriť na automatické zariadenia a systémy umiestnené v domácnosti;
Škodlivé útoky na internete sa stali pomerne bežnými a telefónna sieť sa môže v budúcnosti stať zraniteľnejšou;
Škodlivý softvér, ako sú vírusy, môže deaktivovať počítače, odstrániť alebo zmeniť údaje alebo preprogramovať domáce spotrebiče. Niektoré vírusové útoky boli dosť deštruktívne a nákladné;
Skresľovanie informácií o jednotlivcoch resp právnických osôb môžu spôsobiť značné škody, napríklad si zákazníci môžu stiahnuť škodlivý softvér z webovej stránky, ktorá sa vydáva za dôveryhodný zdroj, môžu byť ukončené zmluvy alebo môžu byť dôverné informácie odoslané nevhodným príjemcom;
Mnohé incidenty informačnej bezpečnosti zahŕňajú neočakávané a nezamýšľané udalosti, ako sú prírodné katastrofy (povodne, búrky a zemetrasenia), hardvérové resp. softvér, ako aj ľudský faktor.
Dnes má takmer každý byt domácu sieť, do ktorej sú pripojené stolné počítače, notebooky, dátové úložiská (NAS), prehrávače médií, inteligentné televízory, ale aj smartfóny, tablety a ďalšie nositeľné zariadenia. Používajú sa buď káblové (Ethernet) alebo bezdrôtové (Wi-Fi) pripojenia a protokoly TCP/IP. S rozvojom technológií internetu vecí sa na internet dostali domáce spotrebiče – chladničky, kávovary, klimatizácie a dokonca aj elektroinštalačné zariadenia. Vďaka riešeniam" Inteligentný dom„Môžeme ovládať jas osvetlenia, na diaľku upravovať vnútornú mikroklímu, zapínať a vypínať rôzne zariadenia – to značne uľahčuje život, no majiteľovi pokročilých riešení to môže spôsobiť vážne problémy.
Žiaľ, vývojári takýchto zariadení sa zatiaľ dostatočne nestarajú o bezpečnosť svojich produktov a počet v nich nájdených zraniteľností rastie ako huby po daždi. Často sa vyskytujú prípady, keď po vstupe na trh už zariadenie nie je podporované – napríklad náš televízor má nainštalovaný firmvér 2016 založený na Androide 4 a výrobca sa ho nechystá aktualizovať. Hostia tiež pridávajú problémy: je nepohodlné zakázať im prístup k Wi-Fi, ale tiež by ste nechceli pustiť do svojej útulnej siete len niekoho. Ktovie, aké vírusy sa môžu usadiť v cudzích ľuďoch? mobilné telefóny? To všetko nás vedie k potrebe rozdeliť domácu sieť na niekoľko izolovaných segmentov. Pokúsme sa prísť na to, ako to urobiť, ako sa hovorí, s malou krvou a s najmenšími finančnými nákladmi.
Izolácia sietí Wi-Fi
V podnikových sieťach je problém ľahko vyriešený - existujú riadené prepínače s podporou virtuálnych lokálnych sietí (VLAN), rôzne smerovače, firewally a bezdrôtové prístupové body - požadovaný počet izolovaných segmentov môžete postaviť za pár hodín. Napríklad pomocou zariadenia Traffic Inspector Next Generation (TING) je problém vyriešený niekoľkými kliknutiami. Prepínač segmentu siete pre hostí stačí pripojiť do samostatného Ethernetový port a vytvorte pravidlá brány firewall. Táto možnosť nie je vhodná do domácnosti z dôvodu vysokých nákladov na zariadenie - našu sieť najčastejšie spravuje jedno zariadenie, ktoré v sebe spája funkcie routera, prepínača, bezdrôtového prístupového bodu a bohvie čoho ešte.
Našťastie moderné smerovače pre domácnosť (aj keď by bolo správnejšie nazývať ich internetovými centrami) sa stali tiež veľmi inteligentnými a takmer všetky, okrem tých veľmi lacných, majú schopnosť vytvoriť izolovanú hosťovskú Wi-Fi sieť. Spoľahlivosť tejto izolácie je otázkou na samostatný článok, dnes nebudeme skúmať firmvér domácich zariadení od rôznych výrobcov. Zoberme si ako príklad ZyXEL Keenetic Extra II. Teraz sa tento rad stal jednoducho nazývaným Keenetic, ale do rúk sa nám dostalo zariadenie vydané pod značkou ZyXEL.
Nastavenie cez webové rozhranie nespôsobí ťažkosti ani začiatočníkom – pár klikov a máme samostatnú bezdrôtovú sieť s vlastným SSID, ochranou WPA2 a heslom pre prístup. Môžete do nej povoliť hostí, ako aj zapnúť televízory a prehrávače s dlho neaktualizovaným firmvérom alebo iných klientov, ktorým príliš nedôverujete. Vo väčšine zariadení od iných výrobcov je táto funkcia, opakujeme, tiež prítomná a aktivuje sa rovnakým spôsobom. Takto sa problém rieši napríklad vo firmvéri Smerovače D-Link pomocou sprievodcu nastavením.
Keď je zariadenie už nakonfigurované a funguje, môžete pridať hosťovskú sieť.
Snímka obrazovky z webovej stránky výrobcu
Snímka obrazovky z webovej stránky výrobcu
Izolujeme siete Ethernet
Okrem klientov pripájajúcich sa k bezdrôtovej sieti môžeme naraziť na zariadenia s káblové rozhranie. Odborníci povedia, že na vytvorenie izolovaných ethernetových segmentov sa používajú takzvané VLAN – virtuálne lokálne siete. Niektoré domáce smerovače podporujú túto funkciu, ale práve tu sa úloha komplikuje. Chcel by som nielen vytvoriť samostatný segment, ale musíme spojiť porty pre káblové pripojenie s bezdrôtovou sieťou pre hostí na jednom smerovači. Nie každé domáce zariadenie to zvládne: povrchná analýza ukazuje, že okrem internetových centier Keenetic, pridanie ethernetových portov do jedného Wi-Fi sieť Modely z rady MikroTik sú schopné aj segmentu hostí, no proces ich nastavenia už nie je taký samozrejmý. Ak hovoríme o cenovo porovnateľných smerovačoch pre domácnosť, iba Keenetic dokáže vyriešiť problém niekoľkými kliknutiami vo webovom rozhraní.
Ako vidíte, testovaný subjekt sa s problémom ľahko vyrovnal a tu stojí za to venovať pozornosť ďalšej zaujímavej funkcii - môžete tiež izolovať bezdrôtových klientov hosťovskej siete od seba. Je to veľmi užitočné: smartfón vášho priateľa infikovaný malvérom bude mať prístup na internet, ale nebude môcť zaútočiť na iné zariadenia, dokonca ani v hosťovskej sieti. Ak má váš router podobnú funkciu, určite by ste ju mali povoliť, hoci to obmedzí možnosti interakcie s klientom – napríklad už nebude možné spárovať televízor s prehrávačom médií cez Wi-Fi, budete musieť použite káblové pripojenie. V tejto fáze vyzerá naša domáca sieť bezpečnejšie.
Aký je výsledok?
Počet bezpečnostných hrozieb z roka na rok rastie a výrobcovia inteligentné zariadenia nie vždy venujú dostatočnú pozornosť včasnému vydávaniu aktualizácií. V takejto situácii máme jediné východisko – odlíšenie klientov domácej siete a vytvorenie izolovaných segmentov pre nich. Aby ste to dosiahli, nemusíte kupovať vybavenie za desiatky tisíc rubľov, túto úlohu zvládne relatívne lacné internetové centrum pre domácnosť. Tu by som rád varoval čitateľov pred nákupom zariadení lacných značiek. Takmer všetci výrobcovia majú teraz viac-menej rovnaký hardvér, ale kvalita vstavaného softvéru je veľmi odlišná. Rovnako ako trvanie cyklu podpory pre vydané modely. Nie každý domáci router si poradí aj s pomerne jednoduchou úlohou skombinovať káblovú a bezdrôtovú sieť v izolovanom segmente a možno máte aj zložitejšie. Niekedy je potrebné nakonfigurovať ďalšie segmenty alebo filtrovanie DNS na prístup len k zabezpečeným hostiteľom, vo veľkých miestnostiach musíte pripojiť Wi-Fi klientov k sieti pre hostí cez externé prístupové body atď. a tak ďalej. Okrem bezpečnostných problémov existujú aj ďalšie problémy: vo verejných sieťach je potrebné zabezpečiť registráciu klientov v súlade s požiadavkami federálneho zákona č. 97 „o informáciách, informačné technológie a o ochrane informácií“. Takéto problémy sú schopné vyriešiť lacné zariadenia, ale nie všetky - funkčnosť Opakujeme, že vstavaný softvér, ktorý majú, je veľmi odlišný.
