Zaščitimo router in domače omrežje. No, kako zaščititi pametne telefone in tablice? Pogled ponudnika
Glavna grožnja varnosti vaših podatkov je svetovni splet. Kako zagotoviti zanesljiva zaščita domače omrežje?
Uporabniki pogosto zmotno verjamejo, da za zaščito domačega računalnika, povezanega z internetom, zadostuje običajni protivirusni program. Zavajajoči so tudi napisi na škatlah usmerjevalnikov, ki pravijo, da te naprave na strojni ravni izvajajo zmogljiv požarni zid, ki lahko zaščiti pred hekerski napadi. Te izjave so le delno resnične. Prvič, obe orodji zahtevata ustrezno konfiguracijo. Vendar pa številni protivirusni paketi preprosto nimajo takšne funkcije, kot je požarni zid.
Medtem se kompetentna gradnja zaščite začne že pri sami povezavi z internetom. Sodobna domača omrežja običajno uporabljajo usmerjevalnike Wi-Fi, ki uporabljajo kabelsko povezavo Ethernet. Imajo dostop do interneta prek lokalnega omrežja namizni računalniki ter prenosnike, pametne telefone in tablice. Poleg tega so v enem samem svežnju tako sami osebni računalniki kot periferne naprave, kot so tiskalniki in optični bralniki, od katerih so mnogi povezani prek omrežja.
Z vdorom v vašo dostopno točko lahko napadalec ne le uporablja vašo internetno povezavo in nadzoruje domače računalniške naprave, ampak tudi kraj Svetovni splet nezakonite vsebine z uporabo vašega naslova IP, kot tudi krajo informacij, shranjenih na opremi, povezani z omrežjem. Danes bomo govorili o osnovnih pravilih za zaščito omrežij, ohranjanje njihove funkcionalnosti in preprečevanje vdiranja.
Strojna oprema
Večina sodobne omrežne opreme zahteva konfiguracijo varnostnih funkcij. Najprej govorimo o o različnih filtrih, požarnih zidovih in seznamih načrtovanega dostopa. Neusposobljen uporabnik lahko nastavi parametre zaščite, vendar morate vedeti nekaj odtenkov.
UPORABLJAMO ŠIFRIRANJE PROMETA Pri nastavitvi dostopne točke poskrbite, da boste omogočili najbolj robustne mehanizme varnosti prometa, ustvarite zapleteno, nesmiselno geslo in uporabite protokol WPA2 s šifrirnim algoritmom AES. WEP je zastarel in ga je mogoče vdreti v nekaj minutah.
VAŠE RAČUNOVODSKE PODATKE REDNO SPREMINJAMO Nastavite močna gesla za dostop in jih redno spreminjajte (na primer enkrat na šest mesecev). Najlažji način vdora v napravo, na kateri je uporabnik pustil standardno prijavo in geslo "admin" / "admin".
SKRIVANJE SSID Parameter SSID (Service Set Identifier) je javno ime brezžično omrežje, ki se predvaja po zraku, tako da ga lahko vidijo uporabniške naprave. Uporaba možnosti za skrivanje SSID vas bo zaščitila pred začetniki hekerji, potem pa boste morali za povezavo novih naprav ročno vnesti parametre dostopne točke.
NASVET Pri prvi nastavitvi dostopne točke spremenite SSID, saj to ime odraža model usmerjevalnika, kar lahko napadalcu služi kot namig pri iskanju ranljivosti.
KONFIGURACIJA VGRAJENEGA POŽARNEGA ZIDA Usmerjevalniki so v večini primerov opremljeni s preprostimi različicami požarnih zidov. Z njihovo pomočjo ne bo mogoče temeljito konfigurirati številnih pravil za varno delo v omrežju, lahko pa pokrijete glavne ranljivosti ali na primer prepoveste delovanje e-poštnih odjemalcev.
OMEJITEV DOSTOPA PO MAC NASLOVU S seznami naslovov MAC (Media Access Control) lahko onemogočite dostop do lokalnega omrežja tistim napravam, katerih fizični naslovi niso vključeni v tak seznam. Če želite to narediti, boste morali ročno ustvariti sezname dovoljene opreme v omrežju. Vsaka naprava, opremljena z omrežni vmesnik, mu je tovarniško dodeljen edinstven naslov MAC. Prepoznamo ga lahko tako, da pogledamo nalepko ali oznake na opremi ali uporabimo posebne ukaze in omrežne skenerje. Če obstaja spletni vmesnik ali zaslon (na primer usmerjevalniki in omrežni tiskalniki) Naslov MAC boste našli v meniju z nastavitvami.
Naslov MAC omrežne kartice vašega računalnika najdete v njenih lastnostih. Če želite to narediti, pojdite v meni »Nadzorna plošča | Omrežja in internet | Center za nadzor omrežja in skupni dostop«, nato v levem delu okna kliknite povezavo »Spremeni nastavitve adapterja«, z desno miškino tipko kliknite uporabljeno omrežno kartico in izberite »Stanje«. V oknu, ki se odpre, morate klikniti gumb »Podrobnosti« in si ogledati vrstico »Fizični naslov«, kjer bo prikazanih šest parov številk, ki označujejo naslov MAC vaše omrežne kartice.
Več jih je hiter način. Če ga želite uporabiti, pritisnite kombinacijo tipk "Win + R", vnesite CMD v vrstico, ki se prikaže, in kliknite "V redu". V oknu, ki se odpre, vnesite ukaz:
Pritisnite "Enter". V prikazanih podatkih poiščite vrstice "Fizični naslov" - ta vrednost je naslov MAC.
Po fizični zaščiti omrežja je treba poskrbeti še za programski del »obrambe«. Pri tem vam bodo pomagali obsežni protivirusni paketi, požarni zidovi in skenerji ranljivosti.
KONFIGURIRANJE DOSTOPA DO MAPE Ne postavljajte map s sistemskimi ali preprosto pomembnimi podatki v imenike, ki so dostopni uporabnikom notranjega omrežja. Poleg tega poskusite na sistemskem pogonu ne ustvariti map, do katerih je mogoče dostopati iz omrežja. Če ni posebne potrebe, je bolje omejiti vse takšne imenike z atributom »Samo za branje«. V nasprotnem primeru se lahko virus, preoblečen v dokumente, naseli v mapi v skupni rabi.
NAMESTITEV POŽARNEGA ZIDA Programske požarne zidove je običajno enostavno konfigurirati in imajo način samoučenja. Pri uporabi program vpraša uporabnika, katere povezave odobri in katere mora prepovedati.
Priporočamo uporabo osebnih požarnih zidov, vgrajenih v priljubljene komercialne izdelke, kot so Kaspersky Internet Security, Norton internet Security, NOD Internetna varnost, pa tudi brezplačne rešitve - na primer Comodo Firewall. Standardni požarni zid Windows se na žalost ne more pohvaliti z zanesljivo varnostjo, saj zagotavlja le osnovne nastavitve vrat.
Test ranljivosti
Največjo nevarnost za delovanje računalnika in omrežja predstavljajo programi z »luknjami« in nepravilno nastavljenimi varnostnimi ukrepi.
XSpider Program, ki je enostaven za uporabo, za skeniranje vašega omrežja glede ranljivosti. Omogočil vam bo hitro prepoznavanje najbolj aktualnih problemov ter njihov opis in v nekaterih primerih tudi rešitve. Na žalost je pred časom pripomoček postal plačan in to je morda njegova edina pomanjkljivost.
Nmap Neprofitna mrežni skener z odprtim izvorna koda. Program je bil prvotno razvit za uporabnike UNIX-a, kasneje pa so ga zaradi vse večje priljubljenosti prenesli v Windows. Pripomoček je zasnovan za izkušene uporabnike. Nmap ima preprost in uporabniku prijazen vmesnik, vendar razumevanje podatkov, ki jih proizvaja brez osnovnega znanja, ne bo enostavno.
KIS 2013 Ta paket ne zagotavlja samo celovite zaščite, ampak tudi diagnostična orodja. Uporabite ga lahko za skeniranje nameščenih programov za prisotnost kritičnih ranljivosti. Kot rezultat tega postopka bo program predstavil seznam pripomočkov, v katerih je treba zapolniti vrzeli, in izveste lahko podrobne informacije o vsaki od ranljivosti in kako jo odpraviti.
Nasveti za namestitev omrežja
Svoje omrežje lahko naredite bolj varno ne samo na stopnji njegove postavitve in konfiguracije, ampak tudi, ko že obstaja. Pri zagotavljanju varnosti morate upoštevati število povezanih naprav, lokacijo omrežnega kabla, distribucijo Wi-Fi signala in vrste ovir zanj.
POZICIONIRANJE DOSTOPNE TOČKE Ocenite, koliko območja potrebujete v dosegu Wi-Fi. Če morate pokriti samo območje svojega stanovanja, brezžične dostopne točke ne postavljajte blizu oken. To bo zmanjšalo tveganje prestrezanja in vdora v slabo zaščiten kanal s strani wardriverjev - ljudi, ki iščejo brezplačne brezžične dostopne točke do interneta in uporabljajo tudi nezakonite metode. Upoštevati je treba, da vsaka betonska stena zmanjša moč signala za polovico. Ne pozabite tudi, da je garderobno ogledalo skoraj neprebojen zaslon za Wi-Fi signal, s katerim lahko v nekaterih primerih preprečite širjenje radijskih valov v določene smeri po stanovanju. Poleg tega nekateri usmerjevalniki Wi-Fi omogočajo konfiguracijo moči signala v strojni opremi. S to možnostjo lahko umetno zagotovite dostop le uporabnikom, ki se nahajajo v prostoru z dostopno točko. Pomanjkljivost te metode je možno pomanjkanje signala v oddaljenih predelih vašega stanovanja.
POLAGANJE KABLOV Omrežje, ki je organizirano predvsem s kablom, zagotavlja najvišjo hitrost in zanesljivost komunikacije, hkrati pa izključuje možnost, da bi ga kdo motil, kot se lahko zgodi pri Wi-Fi povezavi. možnost zagozdenja vanj od zunaj, kot se lahko zgodi pri povezavi Wi-Fi.
Da bi se izognili nepooblaščenim povezavam, pri polaganju kabelskega omrežja poskrbite za zaščito žic pred mehanskimi poškodbami, uporabite posebne kabelske kanale in se izogibajte mestom, kjer bo kabel preveč povešen ali, nasprotno, preveč napet. Kabla ne polagajte blizu virov močnih motenj ali na območju s slabimi okoljskimi pogoji (kritične temperature in vlažnost). Za dodatno zaščito lahko uporabite tudi oklopljen kabel.
ZAŠČITA PRED ELEMENTIŽična in brezžična omrežja so dovzetna za učinke neviht, v nekaterih primerih pa lahko udar strele poškoduje več kot le omrežno opremo oz. omrežno kartico, temveč tudi številne komponente osebnega računalnika. Da zmanjšate tveganje, najprej ne pozabite ozemljiti električnih vtičnic in komponent računalnika. Uporabite naprave tipa Pilot, ki uporabljajo zaščitna vezja pred motnjami in napetostnimi sunki.
Poleg tega najboljša rešitev lahko postane vir brezprekinitveno napajanje(UPS). Sodobne različice vključujejo napetostne stabilizatorje in avtonomno napajanje ter posebne priključke za priključitev omrežnega kabla prek njih. Če strela nenadoma udari v opremo internetnega ponudnika, takšen UPS ne bo dovolil, da bi škodljivi sunki električne energije vstopili v omrežno kartico vašega računalnika. Ne smemo pozabiti, da so v vsakem primeru ozemljitvene vtičnice ali sama oprema izjemno pomembna.
Uporaba orodij za gradnjo tunela VPN
Dokaj zanesljiv način za zaščito informacij, ki se prenašajo po omrežju, so tuneli VPN (Virtual Private Network). Tehnologija tuneliranja omogoča ustvarjanje šifriranega kanala, po katerem se podatki prenašajo med več napravami. Organiziranje VPN za izboljšanje informacijske varnosti je možno znotraj domačega omrežja, vendar je zelo delovno intenzivno in zahteva posebno znanje. Najpogostejši način uporabe VPN je povezava z domačim računalnikom od zunaj, na primer iz službenega računalnika. Tako bodo podatki, ki se prenašajo med vašimi napravami, dobro zaščiteni s šifriranjem prometa. Za te namene je bolje uporabiti zelo zanesljivo brezplačno program Hamachi. V tem primeru bo potrebno le osnovno znanje organizacije VPN, kar je v zmožnostih neizučenega uporabnika.
Uvod
Pomen te teme je v dejstvu, da se spremembe, ki se dogajajo v gospodarskem življenju Rusije - ustvarjanje finančnega in kreditnega sistema, podjetij različnih oblik lastništva itd. - pomembno vplivajo na vprašanja informacijske varnosti. Dolgo časa je bila v naši državi samo ena lastnina - državna, zato so bile tudi informacije in skrivnosti samo državna lastnina, ki so jo varovale močne specialne službe. Težave varnost informacij nenehno poslabšujejo prodor tehničnih sredstev za obdelavo in prenos podatkov, predvsem pa računalniških sistemov, v skoraj vsa področja družbenega delovanja. Tarče napadov so lahko same tehnična sredstva(računalniki in periferija) kot materialni objekti, programska oprema in baze podatkov, za katere so tehnična sredstva okolje. Vsaka okvara računalniškega omrežja ni samo "moralna" škoda za zaposlene v podjetju in skrbnike omrežja. Z razvojem elektronskih plačilnih tehnologij, »brezpapirnega« pretoka dokumentov in drugih lahko resna okvara lokalnih omrežij preprosto ohromi delo celotnih korporacij in bank, kar povzroči znatne materialne izgube. Ni naključje, da je varstvo podatkov v računalniška omrežja postaja eden najbolj perečih problemov sodobnega računalništva. Doslej sta oblikovani dve osnovni načeli informacijske varnosti, ki naj bi zagotovili: - celovitost podatkov - zaščito pred okvarami, ki vodijo do izgube informacij, kot tudi pred nepooblaščenim ustvarjanjem ali uničenjem podatkov. - zaupnost podatkov in hkrati njihova dostopnost vsem pooblaščenim uporabnikom. Opozoriti je treba tudi, da nekatera področja delovanja (bančne in finančne institucije, informacijska omrežja, sistemi pod nadzorom vlade, obramba in posebne strukture) zahtevajo posebne varnostne ukrepe za podatke in postavljajo večje zahteve glede zanesljivosti delovanja informacijski sistemi, v skladu z naravo in pomenom nalog, ki jih rešujejo.
Če je računalnik povezan v lokalno omrežje, lahko do tega računalnika in informacij v njem potencialno dostopajo nepooblaščene osebe iz lokalnega omrežja.
Če je lokalno omrežje povezano z drugimi lokalnimi omrežji, se uporabniki iz teh dodajo na seznam možnih nepooblaščenih uporabnikov. oddaljena omrežja. O dostopnosti takega računalnika iz omrežja oziroma kanalov, preko katerih so povezana lokalna omrežja, ne bomo govorili, ker so verjetno na izhodih iz lokalnih omrežij naprave, ki šifrirajo in nadzorujejo promet, in so bili sprejeti potrebni ukrepi.
Če je računalnik prek ponudnika neposredno povezan z zunanjim omrežjem, na primer preko modema z internetom, za oddaljeno interakcijo z njegovim lokalnim omrežjem, potem so računalnik in podatki na njem potencialno dostopni hekerjem iz interneta. In najbolj neprijetna stvar je, da lahko prek tega računalnika hekerji dostopajo tudi do virov lokalnega omrežja.
Seveda tudi za vse tovrstne povezave redna sredstva nadzor dostopa do operacijskega sistema ali specializirana sredstva zaščite pred nepooblaščenim dostopom ali kriptografski sistemi na ravni posebnih aplikacij ali oboje.
Vendar vsi ti ukrepi na žalost ne morejo zagotoviti želene varnosti med omrežnimi napadi, kar je razloženo z naslednjimi glavnimi razlogi:
Operacijski sistemi (OS), zlasti WINDOWS, so programski izdelki visoke kompleksnosti, katere ustvarjanje izvajajo velike ekipe razvijalcev. Podrobna analiza teh sistemov je izjemno težka. V zvezi s tem zanje ni mogoče zanesljivo utemeljiti odsotnosti standardnih funkcij, napak ali nedokumentiranih funkcij, ki so pomotoma ali namerno ostale v OS in bi jih lahko uporabili z omrežnimi napadi.
V večopravilnem operacijskem sistemu, zlasti WINDOWS, se lahko hkrati izvaja veliko različnih aplikacij...
V tem primeru morata tako ponudnik kot njegova stranka upoštevati pravila informacijske varnosti. Z drugimi besedami, obstajata dve ranljivi točki (na strani odjemalca in na strani ponudnika) in vsak od udeležencev v tem sistemu je prisiljen braniti svoje interese.
Pogled s strani naročnika
Poslovanje v elektronskem okolju zahteva hitre kanale za prenos podatkov in če so prej glavnino ponudnikov zaslužili s povezovanjem v internet, imajo zdaj naročniki precej stroge zahteve glede varnosti ponujenih storitev.
Na Zahodu se je pojavila vrsta strojne opreme, ki omogoča varne povezave z domačimi omrežji. Praviloma se imenujejo »SOHO rešitve« in združujejo strojni požarni zid, zvezdišče z več vrati, DHCP strežnik in funkcije usmerjevalnika VPN. To je na primer pot, ki so jo ubrali razvijalci požarnega zidu Cisco PIX in WatchGuard FireBox. Programski požarni zidovi ostajajo le na osebni ravni in se uporabljajo kot dodatna zaščita.
Razvijalci požarnih zidov strojne opreme razreda SOHO verjamejo, da morajo biti te naprave enostavne za upravljanje, "transparentne" (tj. nevidne) za uporabnika domačega omrežja in po ceni ustrezati znesku neposredne škode možna dejanja vsiljivci. Povprečna škoda za uspešen napad na domače omrežje ocenjeno na približno 500 $.
Za zaščito domačega omrežja lahko uporabite programski požarni zid ali preprosto odstranite nepotrebne protokole in storitve iz konfiguracijskih nastavitev. Najboljša možnost je, da ponudnik testira več osebnih požarnih zidov, na njih konfigurira svoj varnostni sistem in jim zagotovi tehnično podporo. Predvsem prav to počne ponudnik 2COM, ki svojim naročnikom ponuja nabor preizkušenih zaslonov in nasvete za njihovo nastavitev. V najpreprostejšem primeru je priporočljivo razglasiti skoraj vse omrežne naslove za nevarne, razen naslovov lokalni računalnik in prehod, prek katerega se vzpostavi povezava z internetom. Če programska ali strojna oprema na strani odjemalca zazna znake vdora, je treba to takoj prijaviti servisu tehnična podpora ponudnik.
Opozoriti je treba, da požarni zid ščiti pred zunanjimi grožnjami, ne ščiti pa pred napakami uporabnikov. Torej, tudi če ima ponudnik ali stranka nameščen nekakšen varnostni sistem, morata obe strani še vedno upoštevati številna dokaj preprosta pravila, da zmanjšata verjetnost napadov. Najprej je treba na spletu pustiti čim manj osebnih podatkov, izogibati se plačevanju s kreditnimi karticami ali pa vsaj preveriti, ali ima strežnik digitalno potrdilo. Drugič, ne smete prenašati iz interneta in izvajati nobenih programov na vašem računalniku, še posebej brezplačnih. Prav tako ni priporočljivo, da bi lokalni viri bili na voljo zunaj, nameščali podporo za nepotrebne protokole (kot sta IPX ali SMB) ali uporabljali privzete nastavitve (na primer skrivanje datotečnih končnic).
Še posebej nevarno je izvajanje skriptov, priloženih pisem E-naslov, vendar je bolje, da Outlooka sploh ne uporabljate, saj je večina virusov napisanih posebej za tega e-poštnega odjemalca. V nekaterih primerih je za delo z elektronsko pošto varneje uporabljati storitve spletne pošte, saj se virusi prek njih praviloma ne širijo. Ponudnik 2COM na primer ponuja brezplačno spletno storitev, ki omogoča branje zunanjih informacij poštnih predalov in naložite v lokalni stroj samo sporočila, ki jih potrebujete.
Ponudniki običajno ne nudijo storitev varnega dostopa. Dejstvo je, da je naročnikova ranljivost pogosto odvisna od njegovih lastnih dejanj, zato je v primeru uspešnega napada precej težko dokazati, kdo točno je storil napako - naročnik ali ponudnik. Poleg tega je treba še vedno zabeležiti dejstvo napada, to pa je mogoče storiti le z dokazanimi in certificiranimi sredstvi. Tudi oceniti škodo, ki jo povzroči vdor, ni enostavno. Praviloma je določena le njegova najmanjša vrednost, za katero je značilen čas za ponovno vzpostavitev normalnega delovanja sistema.
Ponudniki lahko zagotovijo varnost poštnih storitev s preverjanjem vse dohodne pošte z uporabo protivirusni programi, kot tudi blokiranje vseh protokolov razen glavnih (splet, e-pošta, novice, ICQ, IRC in nekateri drugi). Operaterji ne morejo vedno spremljati, kaj se dogaja na notranjih segmentih domačega omrežja, a ker so se prisiljeni braniti pred zunanjimi napadi (kar je v skladu s politikami zaščite uporabnikov), morajo stranke komunicirati s svojimi varnostnimi ekipami. Ne smemo pozabiti, da ponudnik ne zagotavlja absolutne varnosti uporabnikov - zasleduje le lastno komercialno korist. Pogosto so napadi na naročnike povezani z močnim porastom količine informacij, ki se jim posredujejo, s čimer operater dejansko služi denar. To pomeni, da so lahko interesi ponudnika včasih v nasprotju z interesi potrošnika.
Pogled ponudnika
Za ponudnike storitev domačega omrežja so glavne težave nepooblaščene povezave in velik notranji promet. Domača omrežja se pogosto uporabljajo za gostovanje iger, ki ne presegajo lokalnega omrežja ene stanovanjske stavbe, lahko pa povzročijo blokado njegovih celih segmentov. V tem primeru postane delo na internetu oteženo, kar povzroča pošteno nezadovoljstvo komercialnih strank.
S stroškovnega vidika so ponudniki zainteresirani za zmanjšanje stroškov varovanja in nadzora domačega omrežja. Hkrati pa ne morejo vedno organizirati ustrezne zaščite za stranko, saj to zahteva določene stroške in omejitve s strani uporabnika. Žal se s tem ne strinjajo vsi naročniki.
Običajno so domača omrežja strukturirana na naslednji način: obstaja centralni usmerjevalnik, ki ima dostop do interneta, nanj pa je povezano razvejano omrežje bloka, hiše in vhoda. Usmerjevalnik seveda deluje kot požarni zid, ki ločuje domače omrežje od ostalega interneta. Izvaja več varnostnih mehanizmov, najpogosteje uporabljen pa je prevajanje naslovov, ki omogoča istočasno skrivanje notranje omrežne infrastrukture in shranjevanje resničnih IP naslovov ponudnika.
Vendar pa nekateri ponudniki svojim strankam dajejo prave naslove IP (to se na primer zgodi v omrežju mikrodistrikta Mitino, ki je povezano z moskovskim ponudnikom MTU-Intel). V tem primeru postane uporabnikov računalnik neposredno dostopen iz interneta, zaradi česar je težje varovati. Ni presenetljivo, da je breme zagotavljanja varnost informacij v celoti odpade na naročnike, operaterju pa ostane edina pot nadzor nad njihovimi dejanji - z naslovi IP in MAC. Vendar pa sodobni adapterji Ethernet omogočajo programsko spreminjanje obeh parametrov na ravni operacijskega sistema, ponudnik pa je brez obrambe pred brezvestnim odjemalcem.
Seveda nekatere aplikacije zahtevajo dodelitev pravih naslovov IP. Dajanje pravega statičnega naslova IP odjemalcu je precej nevarno, saj če je strežnik s tem naslovom uspešno napaden, bo preostalo interno omrežje postalo dostopno prek njega.
Ena od kompromisnih rešitev problema varno uporabo IP naslovi v domačem omrežju so uvedba tehnologije VPN v kombinaciji z mehanizmom za dinamično razdeljevanje naslovov. Na kratko je shema naslednja. Šifrirani tunel se vzpostavi od odjemalskega računalnika do usmerjevalnika s protokolom PPTP. Ker ta protokol podpira operacijski sistem Windows od različice 95 in je zdaj implementiran za druge operacijski sistemi, odjemalcu ni treba namestiti dodatne programske opreme – konfigurirati mora le že nameščene komponente. Ko se uporabnik poveže v internet, najprej vzpostavi povezavo z usmerjevalnikom, nato se prijavi, prejme naslov IP in šele nato lahko začne delati v internetu.
Ta vrsta povezave je enakovredna običajni klicni povezavi s to razliko, da lahko pri namestitvi nastavite skoraj poljubno hitrost. Tudi ugnezdena podomrežja VPN bodo delovala po tej shemi, ki jo je mogoče uporabiti za oddaljeno povezovanje odjemalcev z omrežjem podjetja. Med vsako uporabniško sejo ponudnik dinamično dodeli resnični ali navidezni naslov IP. Mimogrede, pravi naslov IP 2COM stane 1 $ na mesec več kot virtualni.
Za izvedbo povezav VPN je 2COM razvil lasten specializiran usmerjevalnik, ki opravlja vse zgoraj navedene funkcije in cene storitev. Upoštevati je treba, da šifriranje paketov ni odgovornost procesor, vendar na specializiranem koprocesorju, ki omogoča hkratno podporo do 500 virtualnih kanalov VPN. En tak kripto usmerjevalnik v omrežju 2COM se uporablja za povezavo več hiš hkrati.
Na splošno na najboljši možen način Zaščita domačega omrežja je tesna interakcija med ponudnikom in stranko, znotraj katere ima vsak možnost braniti svoje interese. Na prvi pogled se zdijo varnostne metode domačega omrežja podobne tistim, ki se uporabljajo za varovanje korporativna varnost, ampak dejansko ni. Običajno je, da podjetja vzpostavijo dokaj stroga pravila vedenja za zaposlene, ki se držijo določene politike informacijske varnosti. Ta možnost ne deluje v domačem omrežju: vsak odjemalec potrebuje svoje storitve in mora ustvariti splošna pravila vedenje ni vedno uspešno. Posledično je zgraditi zanesljiv varnostni sistem domačega omrežja veliko težje kot zagotoviti varnost korporativnega omrežja.
PNST301-2018/ISO/IEC 24767-1:2008
PRELIMINARNI NACIONALNI STANDARD RUSKE FEDERACIJE
Informacijska tehnologija
VARNOST DOMAČEGA OMREŽJA
Varnostne zahteve
Informacijska tehnologija. Varnost domačega omrežja. Del 1. Varnostne zahteve
OKS 35.110, 35.200,35.240.99
Velja od 2019-02-01
Predgovor
Predgovor
1 PRIPRAVILa Zvezna državna proračunska izobraževalna ustanova za visoko šolstvo "Ruska ekonomska univerza po imenu G. V. Plekhanov" (FSBEI HE "REU po imenu G. V. Plekhanov") na podlagi lastnega prevoda v ruščino angleške različice mednarodnega standarda, določenega v odstavku 4
2PREDSTAVIL tehnični odbor za standardizacijo TC 22 "Informacijske tehnologije"
3 ODOBRENA IN ZAČELA VELJAVITI z odredbo Zvezne agencije za tehnično regulacijo in meroslovje z dne 4. septembra 2018 N38-pnst
4Ta standard je enak mednarodnemu standardu ISO/IEC 24767-1:2008* "Informacijska tehnologija - Varnost domačega omrežja - 1. del: Varnostne zahteve", IDT)
________________
*Dostop do mednarodnih in tujih dokumentov, omenjenih tukaj in v nadaljevanju besedila, je mogoč na povezavi do strani. - Opomba proizvajalca baze podatkov.
Pravila za uporabo tega standarda in izvajanje njegovega spremljanja so določena v GOST R 1.16-2011 (oddelka 5 in 6).
Zvezna agencija za tehnično regulacijo in meroslovje zbira informacije o praktični uporabi tega standarda. Te informacije ter pripombe in predloge na vsebino standarda lahko posredujete najkasneje 4 dni vnaprej. mesecih pred iztekom obdobja veljavnosti razvijalcu tega standarda na naslov: 117997 Moskva, Stremyanny Lane, 36, Zvezna državna proračunska izobraževalna ustanova za visoko šolstvo "REU"poimenovan po G.V. Plehanovu" in Zvezni agenciji za tehnično regulacijo in meroslovje na: 109074 Moskva, Kitaygorodsky proezd, 7, stavba 1.
V primeru preklica tega standarda bodo ustrezne informacije objavljene v mesečnem informacijskem indeksu "Nacionalni standardi" in bodo objavljene tudi na uradni spletni strani Zvezne agencije za tehnično regulacijo in meroslovje na internetu (www.gost.ru)
Uvod
ISO (Mednarodna organizacija za standardizacijo) in IEC (Mednarodna komisija za elektrotehniko) tvorita specializiran sistem za svetovno standardizacijo. Državni organi, ki so člani ISO ali IEC, sodelujejo pri razvoju mednarodnih standardov prek tehničnih odborov. Vsak zainteresirani organ, ki je član ISO ali IEC, lahko sodeluje pri razvoju standarda na določenem področju. V delo so vključene tudi druge mednarodne organizacije, vladne in nevladne, ki so v stiku z ISO in IEC.
Na področju informacijske tehnologije sta ISO in IEC ustanovila skupni tehnični odbor ISO/IEC JTC 1. Osnutki mednarodnih standardov, ki jih je pripravil skupni tehnični odbor, so razposlani nacionalnim odborom za glasovanje. Za objavo kot mednarodnega standarda je potrebna odobritev najmanj 75 % glasovalnih nacionalnih odborov.
Uradne odločitve ali dogovori IEC in ISO o tehničnih zadevah izražajo, kolikor je to mogoče, mednarodno soglasje o zadevnih vprašanjih, saj ima vsak tehnični odbor predstavnike iz vseh zadevnih nacionalnih odborov članic IEC in ISO.
Publikacije IEC, ISO in ISO/IEC so v obliki priporočil za mednarodno uporabo in jih sprejemajo nacionalni komiteji – člani IEC in ISO prav v tem razumevanju. Čeprav so bili vloženi vsi napori za zagotovitev točnosti tehnične vsebine Publikacije IEC, ISO in ISO/IEC, IEC ali ISO ne prevzemata nobene odgovornosti za način njihove uporabe ali za njihovo napačno razlago s strani končnega uporabnika.
Da bi zagotovili mednarodno poenotenje (enoten sistem), se nacionalni odbori IEC in ISO zavezujejo, da bodo zagotavljali največjo možno transparentnost pri uporabi mednarodnih standardov IEC, ISO in ISO/IEC glede na nacionalne in regionalne razmere posamezne države. dovoli. Vsako neskladje med publikacijami ISO/IEC in ustreznimi nacionalnimi ali regionalnimi standardi mora biti v slednjih jasno navedeno.
ISO in IEC ne zagotavljata postopkov označevanja in nista odgovorna za kakršno koli opremo, ki trdi, da je skladna z enim od standardov ISO/IEC.
Vsi uporabniki morajo zagotoviti, da uporabljajo najnovejšo izdajo te publikacije.
IEC ali ISO, njihovo vodstvo, zaposleni, uslužbenci ali predstavniki, vključno s posameznimi strokovnjaki in člani njihovih tehničnih odborov, ter člani nacionalnih odborov IEC ali ISO niso odgovorni za nesreče, lastninsko škodo ali drugo neposredno ali posredno škodo, ali za stroške (vključno s pravnimi stroški), ki nastanejo v zvezi z objavo ali z uporabo te publikacije ISO/IEC ali druge publikacije IEC, ISO ali ISO/IEC.
Posebno pozornost je treba posvetiti regulativni dokumentaciji, citirani v tej publikaciji.Uporaba referenčnih dokumentov je potrebna za pravilno uporabo te publikacije.
Opozoriti je treba na dejstvo, da so lahko nekateri elementi tega mednarodnega standarda predmet patentnih pravic. ISO in IEC nista odgovorna za določanje katere koli ali vseh takih patentnih pravic.
Mednarodni standard ISO/IEC 24767-1 je razvil skupni tehnični odbor ISO/IEC 1, informacijska tehnologija, pododbor 25, medsebojne povezave opreme informacijske tehnologije.
Seznam vseh trenutno dostopnih delov serije ISO/IEC 24767 pod splošnim naslovom "Informacijska tehnologija - Varnost domačega omrežja" je predstavljen na spletni strani IEC.
1 področje uporabe
Ta standard določa zahteve za zaščito domačega omrežja pred notranjimi ali zunanjimi grožnjami. Standard služi kot osnova za razvoj varnostnih sistemov, ki varujejo notranje okolje pred različnimi grožnjami.
Varnostne zahteve so v tem standardu obravnavane na razmeroma neformalen način.Čeprav mnoga vprašanja, obravnavana v tem standardu, zagotavljajo smernice za načrtovanje varnostnih sistemov za intranet in internet, so po naravi neformalne zahteve.
Povezan na interno (domače) omrežje razne naprave(glej sliko 1). Naprave za "omrežje naprav", naprave za "AV razvedrilo" in naprave za "informacijske aplikacije" imajo različne funkcije in značilnosti delovanja. Ta standard zagotavlja orodja za analizo tveganj vsake naprave, povezane v omrežje, in določanje varnostnih zahtev za vsako napravo.
2Pojmi, definicije in okrajšave
2.1 Izrazi in definicije
V tem standardu so uporabljeni naslednji izrazi in definicije:
2.1.1 potrošniška elektronika(rjavo blago): Avdio/video naprave, ki se uporabljajo predvsem za zabavo, kot je televizija ali DVD snemalnik.
2.1.2zaupnost(zaupnost): lastnost, ki zagotavlja nedostopnost in nerazkritje informacij nepooblaščenim osebam, organizacijam ali procesom.
2.1.3 preverjanje pristnosti podatkov(preverjanje pristnosti podatkov): storitev, ki se uporablja za zagotavljanje pravilnega preverjanja zahtevanega vira podatkov.
2.1.4 celovitost podatkov(celovitost podatkov): Lastnost, ki potrjuje, da podatki niso bili spremenjeni ali uničeni na nepooblaščen način.
2.1.5 avtentikacijo uporabnika(avtentikacija uporabnika): Storitev, ki zagotavlja, da so informacije za avtentikacijo, ki jih zagotovi udeleženec komunikacije, pravilno preverjene, medtem ko avtorizacijska storitev zagotavlja, da ima identificirani in pooblaščeni uporabnik dostop do določeno napravo ali aplikacijo domačega omrežja.
2.1.6 Aparati(bela tehnika): Naprave za vsakodnevno uporabo, kot so klimatske naprave, hladilniki ipd.
2.2 Okrajšave
V tem standardu so uporabljene naslednje okrajšave:
3Skladnost
Ta standard zagotavlja smernice brez kakršnih koli zahtev glede skladnosti.
4Varnostne zahteve za notranje domače elektronske sisteme in omrežja
4.1 Splošne določbe
S hitrim razvojem interneta in z njim povezanih omrežnih tehnologij je postalo mogoče vzpostaviti povezave med računalniki v pisarnah in domovih z zunanjim svetom, kar omogoča dostop do različnih virov. Danes so tehnologije, ki so podprle ta uspeh, dosegle naše domove in omogočajo povezovanje naprav tako kot osebni računalniki. Tako uporabnikom ne omogočajo le spremljanja in nadzora nad njihovimi gospodinjskimi aparati, tako znotraj kot zunaj doma, ampak ustvarjajo tudi nove storitve in zmogljivosti, kot sta daljinsko upravljanje in vzdrževanje gospodinjskih aparatov. To pomeni, da se običajno računalniško okolje doma spremeni v notranje domače omrežje, ki povezuje številne naprave, katerih varnost bo treba tudi poskrbeti.
Nujno je, da stanovalci, uporabniki in lastniki tako doma kot sistema zaupajo domačemu elektronskemu sistemu. Domači elektronski varnostni cilj podporni sistemi zaupanje v sistem. Ker je veliko domačih komponent elektronski sistem delujejo neprekinjeno 24 ur na dan in avtomatsko izmenjujejo informacije z zunanjim svetom, je informacijska varnost nujna za zagotavljanje zaupnosti, celovitosti in razpoložljivosti podatkov in sistema.Pravilno implementirana varnostna rešitev pomeni npr. sistem ter shranjene, vhodne in izhodne podatke prejmejo samo pooblaščeni uporabniki in procesi ter da lahko samo pooblaščeni uporabniki uporabljajo sistem in ga spreminjajo.
Varnostne zahteve za omrežje HES je mogoče opisati na več načinov. Ta standard je omejen na IT varnost omrežja HES. Vendar mora varnost IT segati onkraj samega sistema, saj mora dom delovati, čeprav z omejeno zmogljivostjo, v primeru okvare IT sistema.Pametne funkcije, ki jih običajno podpira omrežje HES, se lahko izvajajo tudi, ko sistemske povezave so izgubljeni. V takih primerih je mogoče razumeti, da obstajajo varnostne zahteve, ki ne morejo biti del samega sistema, vendar sistem ne bi smel prepovedati izvajanja nadomestnih rešitev.
Obstaja veliko ljudi, ki jih zanimajo varnostna vprašanja. Domačemu elektronskemu sistemu morajo zaupati ne le stanovalci in lastniki, temveč tudi ponudniki storitev in vsebin. Slednji morajo zagotoviti, da se storitve in vsebine, ki jih ponujajo, uporabljajo le na pooblaščen način. Vendar pa je eden od temeljev varnosti sistema ta, da mora biti zanj odgovoren določen varnostni skrbnik. Očitno je treba takšno odgovornost naložiti stanovalcem (lastnikom sistema). Pri tem ni pomembno, ali skrbnik to počne osebno ali naroči zunanjemu izvajalcu. V vsakem primeru je odgovornost skrbnik varnostnega sistema. Zaupanje ponudnikov storitev in vsebin v domači elektronski sistem ter njihovo zaupanje, da uporabniki ustrezno uporabljajo njihove storitve in vsebine, je določeno s pogodbenimi obveznostmi med strankama. Pogodba lahko na primer navaja funkcije, komponente ali procese, ki jih mora podpirati sistem domače elektronike.
Arhitektura domačega elektronskega sistema je različna za različne tipe hiš. Vsak model ima lahko svoj poseben niz varnostnih zahtev. Spodaj so opisi treh različnih modelov domačih elektronskih sistemov z različnimi nabori varnostnih zahtev.
Očitno so nekatere varnostne zahteve pomembnejše od drugih. Tako je jasno, da bo podpora nekaterim protiukrepom neobvezna. Poleg tega se protiukrepi lahko razlikujejo po kakovosti in ceni. Za upravljanje in vzdrževanje takšnih protiukrepov so morda potrebne tudi različne veščine. Ta standard poskuša razjasniti utemeljitev za navedene varnostne zahteve in s tem omogočiti načrtovalcem sistemov domače elektronike, da določijo, katere varnostne funkcije mora podpirati določen izdelek. domači sistem in ob upoštevanju zahtev glede kakovosti ter prizadevanj za upravljanje in vzdrževanje, kateri mehanizem je treba izbrati za te funkcije.
Varnostne zahteve notranjega omrežja so odvisne od definicije varnosti in »doma« ter od tega, kaj pomeni »omrežje« v tem domu. Če je omrežje le povezava, ki povezuje en osebni računalnik s tiskalnikom ali kabelskim modemom, potem je zaščita vašega domačega omrežja tako preprosta kot zaščita te povezave in opreme, ki jo povezuje.
Če pa je v domeni na desetine, če ne na stotine, omrežnih naprav, od katerih nekatere pripadajo celotnemu gospodinjstvu, nekatere pa pripadajo ljudem v domu, bo treba uvesti bolj sofisticirane varnostne ukrepe.
4.2 Varnost domačega elektronskega sistema
4.2.1 Opredelitev domačega elektronskega sistema in varnosti sistema
Sistem in omrežje domače elektronike je mogoče opredeliti kot zbirko elementov, ki obdelujejo, prenašajo, shranjujejo in upravljajo informacije ter zagotavljajo povezljivost in integracijo s številnimi računalniškimi, nadzornimi, nadzornimi in komunikacijskimi napravami v domu.
Poleg tega hišni elektronski sistemi in omrežja zagotavljajo medsebojno povezavo med zabavnimi in informacijskimi napravami ter komunikacijskimi in varnostnimi napravami ter gospodinjskimi aparati v domu. Takšne naprave in naprave bodo izmenjevale informacije, jih je mogoče nadzorovati in spremljati v hiši ali na daljavo. V skladu s tem bodo vsa notranja domača omrežja potrebovala določene varnostne mehanizme za zaščito svojih vsakodnevnih operacij.
Varnost omrežja in informacij lahko razumemo kot sposobnost omrežja ali informacijskega sistema, da vzdrži naključne dogodke ali zlonamerna dejanja na določeni ravni. Takšni dogodki ali dejanja lahko ogrozijo razpoložljivost, avtentičnost, avtentičnost in zaupnost shranjenih ali prenesenih podatkov ter povezanih storitev, ponujenih prek takih omrežij in sistemov.
Incidente informacijske varnosti lahko združimo v naslednje skupine:
Elektronske komunikacije se lahko prestrežejo in podatki se lahko kopirajo ali spremenijo. To lahko povzroči škodo, ki nastane tako zaradi kršitve posameznikove pravice do zaupnosti kot zaradi zlorabe prestreženih podatkov;
Nepooblaščen dostop do računalnika in notranjih računalniških omrežij se običajno izvaja z zlonamernim namenom kopiranja, spreminjanja ali uničenja podatkov in se lahko razširi na avtomatsko opremo in sisteme v domu;
Zlonamerni napadi na internetu so postali nekaj običajnega, v prihodnosti pa lahko postane bolj ranljivo tudi telefonsko omrežje;
Zlonamerna programska oprema, kot so virusi, lahko onesposobi računalnike, izbriše ali spremeni podatke ali ponovno programira gospodinjske aparate. Nekateri virusni napadi so bili precej uničujoči in dragi;
Napačno prikazovanje podatkov o posameznikih oz pravne osebe lahko povzroči znatno škodo, na primer, stranke lahko prenesejo zlonamerno programsko opremo s spletnega mesta, ki se predstavlja kot zaupanja vreden vir, lahko se prekinejo pogodbe ali pa se lahko zaupne informacije pošljejo neprimernim prejemnikom;
Številni incidenti informacijske varnosti vključujejo nepričakovane in nenamerne dogodke, kot so naravne nesreče (poplave, neurja in potresi), strojna oz. programsko opremo, pa tudi človeški faktor.
Danes ima skoraj vsako stanovanje domače omrežje, v katerega so povezani namizni računalniki, prenosniki, naprave za shranjevanje podatkov (NAS), medijski predvajalniki, pametni televizorji, pa tudi pametni telefoni, tablice in druge nosljive naprave. Uporabljajo se žične (Ethernet) ali brezžične (Wi-Fi) povezave in protokoli TCP/IP. Z razvojem tehnologij interneta stvari so na spletu prišli gospodinjski aparati – hladilniki, kavni aparati, klimatske naprave in celo elektroinštalacijska oprema. Zahvaljujoč rešitvam " Pametna hiša»Nadziramo lahko svetlost osvetlitve, na daljavo uravnavamo notranjo mikroklimo, vklapljamo in izklapljamo različne naprave – to zelo olajša življenje, vendar lahko lastniku naprednih rešitev povzroči resne težave.
Žal pa razvijalci tovrstnih naprav še premalo skrbijo za varnost svojih izdelkov, zato število najdenih ranljivosti v njih raste kot gobe po dežju. Pogosto so primeri, ko po vstopu na trg naprava ni več podprta - naš televizor ima na primer nameščeno strojno programsko opremo 2016, ki temelji na Androidu 4, proizvajalec pa je ne namerava posodobiti. Težave dodajajo tudi gostje: neprijetno jim je zavrniti dostop do Wi-Fi-ja, vendar tudi ne bi želeli nikogar spustiti v svoje udobno omrežje. Kdo ve, kakšni virusi se lahko naselijo v tujcih? Mobilni telefoni? Vse to nas vodi do potrebe po razdelitvi domačega omrežja na več ločenih segmentov. Poskusimo ugotoviti, kako to storiti, kot pravijo, z malo krvi in z najmanj finančnimi stroški.
Izolacija omrežij Wi-Fi
V podjetniških omrežjih je problem enostavno rešljiv - obstajajo upravljana stikala s podporo za navidezna lokalna omrežja (VLAN), različne usmerjevalnike, požarne zidove in brezžične dostopne točke - v nekaj urah lahko zgradite potrebno število izoliranih segmentov. Z uporabo naprave Traffic Inspector Next Generation (TING) je na primer težava rešena v samo nekaj klikih. Dovolj je, da stikalo segmenta gostujočega omrežja povežete v ločeno Ethernet vrata in ustvarite pravila požarnega zidu. Ta možnost ni primerna za dom zaradi visokih stroškov opreme - najpogosteje naše omrežje upravlja ena naprava, ki združuje funkcije usmerjevalnika, stikala, brezžične dostopne točke in Bog ve kaj še.
Na srečo so sodobni gospodinjski usmerjevalniki (čeprav bi jih bilo pravilneje imenovati internetni centri) postali zelo pametni in skoraj vsi, razen zelo proračunskih, imajo možnost ustvariti izolirano gostujoče omrežje Wi-Fi. Zanesljivost te izolacije je vprašanje za ločen članek, danes ne bomo preučevali vdelane programske opreme gospodinjskih naprav različnih proizvajalcev. Vzemimo za primer ZyXEL Keenetic Extra II. Zdaj se je ta linija preprosto imenovala Keenetic, vendar smo dobili v roke napravo, izdano pod blagovno znamko ZyXEL.
Nastavitev prek spletnega vmesnika ne bo povzročala težav niti začetnikom – nekaj klikov in imamo ločeno brezžično omrežje z lastnim SSID, WPA2 zaščito in geslom za dostop. Vanj lahko dovolite goste, pa tudi vklopite televizorje in predvajalnike z vdelano programsko opremo, ki že dolgo ni bila posodobljena, ali druge odjemalce, ki jim ne zaupate posebej. V večini naprav drugih proizvajalcev je ta funkcija, ponavljamo, prav tako prisotna in se aktivira na enak način. Tako je na primer problem rešen v vdelani programski opremi D-Link usmerjevalniki s pomočjo čarovnika za namestitev.
Omrežje za goste lahko dodate, ko je naprava že konfigurirana in deluje.
Posnetek zaslona s spletne strani proizvajalca
Posnetek zaslona s spletne strani proizvajalca
Omrežja Ethernet izoliramo
Poleg odjemalcev, ki se povezujejo v brezžično omrežje, lahko naletimo na naprave z žični vmesnik. Strokovnjaki bodo rekli, da se za ustvarjanje izoliranih segmentov Ethernet uporabljajo tako imenovani VLAN - navidezna lokalna omrežja. Nekateri domači usmerjevalniki podpirajo to funkcionalnost, vendar je tukaj naloga bolj zapletena. Ne bi želel samo narediti ločenega segmenta, na enem usmerjevalniku moramo združiti vrata za žično povezavo z brezžičnim omrežjem za goste. Tega ne zmore vsaka gospodinjska naprava: površna analiza kaže, da je poleg internetnih centrov Keenetic dodajanje ethernetnih vrat enemu Omrežje Wi-Fi Modeli iz linije MikroTik so zmožni tudi gostujočega segmenta, vendar postopek njihove postavitve ni več tako očiten. Če govorimo o cenovno primerljivih gospodinjskih usmerjevalnikih, lahko le Keenetic reši problem v nekaj klikih v spletnem vmesniku.
Kot lahko vidite, se je testiranec zlahka spopadel s težavo in tukaj je vredno biti pozoren na še eno zanimivo lastnost - brezžične odjemalce gostujočega omrežja lahko tudi izolirate drug od drugega. To je zelo uporabno: pametni telefon vašega prijatelja, okužen z zlonamerno programsko opremo, bo dostopal do interneta, vendar ne bo mogel napadati drugih naprav, niti v omrežju za goste. Če ima vaš usmerjevalnik podobno funkcijo, jo morate vsekakor omogočiti, čeprav boste s tem omejili možnosti interakcije z odjemalcem - na primer, televizorja ne bo več mogoče združiti z multimedijskim predvajalnikom prek Wi-Fi, boste morali uporabite žično povezavo. Na tej stopnji je naše domače omrežje videti bolj varno.
Kakšen je rezultat?
Število varnostnih groženj narašča iz leta v leto, proizvajalci pa pametne naprave ne posvečajo vedno dovolj pozornosti pravočasni objavi posodobitev. V takšni situaciji imamo samo en izhod - razlikovanje odjemalcev domačega omrežja in ustvarjanje izoliranih segmentov zanje. Če želite to narediti, vam ni treba kupiti opreme za več deset tisoč rubljev, to nalogo lahko opravi razmeroma poceni gospodinjski internetni center. Tukaj bi rad bralce posvaril pred nakupom naprav nizkocenovnih znamk. Skoraj vsi proizvajalci imajo zdaj bolj ali manj enako strojno opremo, vendar je kakovost vgrajene programske opreme zelo različna. Kot tudi trajanje cikla podpore za izdane modele. Vsak gospodinjski usmerjevalnik se ne more spoprijeti s celo dokaj preprosto nalogo združevanja žičnega in brezžičnega omrežja v izoliranem segmentu in morda imate bolj zapletene. Včasih morate konfigurirati dodatne segmente ali filtriranje DNS za dostop samo do varnih gostiteljev, v velikih prostorih morate odjemalce Wi-Fi povezati z omrežjem za goste prek zunanjih dostopnih točk itd. in tako naprej. Poleg varnostnih vprašanj obstajajo še druge težave: v javnih omrežjih je treba zagotoviti registracijo strank v skladu z zahtevami zveznega zakona št. 97 »O informacijah, Informacijska tehnologija in o varstvu informacij." Poceni naprave so sposobne rešiti takšne težave, vendar ne vse - funkcionalnost Vgrajena programska oprema, ki jo imajo, ponavljamo, je zelo različna.
