Vi skyddar routern och hemnätverket. Tja, hur skyddar man smartphones och surfplattor? Leverantörens perspektiv
Det största hotet mot säkerheten för dina data är World Wide Web. Hur man tillhandahåller pålitligt skydd hemnätverk?
Användare tror ofta felaktigt att ett vanligt antivirus är tillräckligt för att skydda en hemdator som är ansluten till Internet. Inskriptionerna på routrarnas lådor är också vilseledande och anger att dessa enheter implementerar en kraftfull brandvägg på hårdvarunivå som kan skydda mot hackerattacker. Dessa påståenden är bara delvis sanna. Först och främst kräver båda verktygen korrekt konfiguration. Men många antiviruspaket har helt enkelt inte en sådan funktion som en brandvägg.
Under tiden börjar kompetent konstruktion av skydd från själva anslutningen till Internet. Moderna hemnätverk använder vanligtvis Wi-Fi-routrar som använder en Ethernet-kabelanslutning. De har tillgång till Internet via ett lokalt nätverk stationära datorer och bärbara datorer, smartphones och surfplattor. Dessutom, i ett enda paket finns både själva datorerna och kringutrustning, såsom skrivare och skannrar, av vilka många är anslutna via ett nätverk.
Genom att hacka din åtkomstpunkt kan en angripare inte bara använda din Internetanslutning och kontrollera hemdatorenheter, utan också placera World Wide Web olagligt innehåll med hjälp av din IP-adress, samt stjäla information som lagras på utrustning som är ansluten till nätverket. Idag ska vi prata om de grundläggande reglerna för att skydda nätverk, behålla deras funktionalitet och förhindra hacking.
Hårdvara
De flesta moderna nätverksutrustningar kräver konfigurering av säkerhetsfunktioner. För det första vi pratar om om olika filter, brandväggar och schemalagda åtkomstlistor. En otränad användare kan ställa in skyddsparametrarna, men du bör känna till några nyanser.
VI ANVÄNDER TRAFIKKRYPTERING När du ställer in en åtkomstpunkt, se till att aktivera de mest robusta trafiksäkerhetsmekanismerna, skapa ett komplext, meningslöst lösenord och använda WPA2-protokollet med AES-krypteringsalgoritm. WEP är föråldrat och kan hackas på några minuter.
VI ÄNDRINGAR REGELBUNDET DINA REDOVISNINGSUPPGIFTER Ställ in starka åtkomstlösenord och byt dem regelbundet (till exempel en gång var sjätte månad). Det enklaste sättet att hacka en enhet där användaren har lämnat standardinloggningen och lösenordet "admin"/"admin".
Döljer SSID SSID-parametern (Service Set Identifier) är det offentliga namnet trådlöst nätverk, som sänds trådlöst så att användarenheter kan se det. Om du använder alternativet för att dölja SSID kommer du att skydda dig från nybörjare, men för att ansluta nya enheter måste du manuellt ange parametrarna för åtkomstpunkten.
RÅD När du ställer in åtkomstpunkten för första gången, ändra SSID, eftersom det här namnet återspeglar routerns modell, vilket kan fungera som en ledtråd till en angripare när han söker efter sårbarheter.
KONFIGURERING AV DEN INBYGGDA BRANDVÄGGEN Routrar är i de flesta fall utrustade med enkla versioner av brandväggar. Med deras hjälp kommer det inte att vara möjligt att noggrant konfigurera många regler för säkert arbete på nätverket, men du kan täcka de största sårbarheterna, eller till exempel förbjuda driften av e-postklienter.
ÅTKOMSTBEGRÄNSNING AV MAC-ADRESS Med hjälp av MAC-adresslistor (Media Access Control) kan du neka åtkomst till det lokala nätverket för de enheter vars fysiska adresser inte finns med i en sådan lista. För att göra detta måste du manuellt skapa listor över utrustning som är tillåten i nätverket. Varje enhet utrustad med nätverksgränssnitt, det finns en unik MAC-adress tilldelad till den på fabriken. Det kan kännas igen genom att titta på etiketten eller markeringarna på utrustningen, eller genom att använda speciella kommandon och nätverksskannrar. Om det finns ett webbgränssnitt eller display (till exempel routrar och nätverksskrivare) Du hittar MAC-adressen i inställningsmenyn.
MAC-adressen för din dators nätverkskort finns i dess egenskaper. För att göra detta, gå till menyn "Kontrollpanelen | Nätverk och Internet | Nätverkskontrollcenter och delad åtkomst", sedan i den vänstra delen av fönstret, klicka på länken "Ändra adapterinställningar", högerklicka på nätverkskortet som används och välj "Status". I fönstret som öppnas måste du klicka på knappen "Detaljer" och titta på raden "Fysisk adress", där sex par nummer kommer att visas som anger MAC-adressen för ditt nätverkskort.
Det finns fler snabbt sätt. För att använda den, tryck på tangentkombinationen "Win+R", skriv in CMD på raden som visas och klicka på "OK". I fönstret som öppnas anger du kommandot:
Tryck enter". Hitta raderna "Fysisk adress" i den visade informationen - detta värde är MAC-adressen.
Efter att ha skyddat nätverket fysiskt är det nödvändigt att ta hand om mjukvarudelen av "försvaret". Omfattande antiviruspaket hjälper dig med detta, brandväggar och sårbarhetsskannrar.
KONFIGURERA ÅTKOMST TILL MAPPAR Placera inte mappar med system eller bara viktiga data i kataloger som är tillgängliga för interna nätverksanvändare. Försök dessutom att inte skapa mappar som kan nås från nätverket på systemenheten. Om det inte finns något speciellt behov är det bättre att begränsa alla sådana kataloger med attributet "Read Only". Annars kan ett virus förklädd som dokument lägga sig i den delade mappen.
INSTALLERA EN BRANDVÄGG Mjukvarubrandväggar är vanligtvis lätta att konfigurera och har ett självlärande läge. När det används frågar programmet användaren vilka anslutningar han godkänner och som han anser vara nödvändiga att förbjuda.
Vi rekommenderar att du använder personliga brandväggar inbyggda i sådana populära kommersiella produkter som Kaspersky Internet Security, Norton internet Security, NOD internet säkerhet, samt gratislösningar - till exempel Comodo Firewall. Den vanliga Windows-brandväggen kan tyvärr inte skryta med pålitlig säkerhet, och tillhandahåller endast grundläggande portinställningar.
Sårbarhetstest
Den största faran för en dators och nätverks prestanda är program som innehåller "hål" och felaktigt konfigurerade säkerhetsåtgärder.
XSpider Ett lättanvänt program för att skanna ditt nätverk efter sårbarheter. Det gör att du snabbt kan identifiera de flesta aktuella problemen och även ge deras beskrivning och, i vissa fall, lösningar. Tyvärr, för en tid sedan blev verktyget betalt, och detta är kanske dess enda nackdel.
Nmap Ideellt nätverksskanner med öppen källkod. Programmet utvecklades ursprungligen för UNIX-användare, men senare, på grund av dess ökade popularitet, portades det till Windows. Verktyget är designat för erfarna användare. Nmap har ett enkelt och användarvänligt gränssnitt, men att förstå den data den producerar utan grundläggande kunskaper kommer inte att vara lätt.
KIS 2013 Detta paket ger inte bara ett omfattande skydd, utan också diagnostiska verktyg. Du kan använda den för att skanna installerade program för närvaron av kritiska sårbarheter. Som ett resultat av denna procedur kommer programmet att presentera en lista över verktyg där luckor måste täppas till, och du kan ta reda på detaljerad information om var och en av sårbarheterna och hur du åtgärdar det.
Tips för att installera ett nätverk
Du kan göra ditt nätverk säkrare, inte bara när det installeras och konfigureras, utan även när det redan finns. När du säkerställer säkerhet måste du ta hänsyn till antalet anslutna enheter, platsen för nätverkskabeln, distributionen av Wi-Fi-signalen och typerna av hinder för den.
PLACERING AV ÅTKOMSTPUNKTEN Bedöm hur mycket yta du behöver ha inom Wi-Fi-täckning. Om du bara behöver täcka ett område av din lägenhet, bör du inte placera den trådlösa åtkomstpunkten nära fönstren. Detta kommer att minska risken för avlyssning och hackning av en svagt skyddad kanal av krigsförare - människor som letar efter gratis trådlösa internetaccesspunkter och även använder olagliga metoder. Det bör beaktas att varje betongvägg minskar signaleffekten med hälften. Kom också ihåg att spegeln i en garderob är en nästan ogenomtränglig skärm för Wi-Fi-signalen, som i vissa fall kan användas för att förhindra utbredning av radiovågor i vissa riktningar i lägenheten. Dessutom låter vissa Wi-Fi-routrar dig konfigurera signalstyrkan i hårdvaran. Med det här alternativet kan du på konstgjord väg säkerställa åtkomst endast för användare som befinner sig i rummet med åtkomstpunkten. Nackdelen med denna metod är den möjliga bristen på signal i avlägsna områden i din lägenhet.
LÄGGNING AV KABLAR Ett nätverk organiserat huvudsakligen med hjälp av kabel ger den högsta hastigheten och tillförlitligheten för kommunikation, samtidigt som det eliminerar möjligheten att någon stör det, vilket kan hända med en Wi-Fi-anslutning. möjligheten att kila in i den från utsidan, vilket kan hända med en Wi-Fi-anslutning.
För att undvika obehöriga anslutningar, när du lägger ett kabelnät, var noga med att skydda ledningarna från mekaniska skador, använd speciella kabelkanaler och undvik områden där sladden kommer att hänga för mycket eller, omvänt, vara överdrivet spänd. Lägg inte kabeln nära källor till starka störningar eller i ett område med dåliga miljöförhållanden (kritiska temperaturer och luftfuktighet). Du kan också använda en skärmad kabel för ytterligare skydd.
SKYDDAR FRÅN ELEMENTEN Trådbundna och trådlösa nätverk är känsliga för effekterna av åskväder, och i vissa fall kan ett blixtnedslag skada mer än bara nätverksutrustning eller nätverkskort, men också många PC-komponenter. För att minska risken, kom först ihåg att jorda eluttag och PC-komponenter. Använd enheter av pilottyp som använder skyddskretsar från störningar och överspänningar.
Förutom, den bästa lösningen kan bli en källa avbrottsfri strömförsörjning(POSTEN). Moderna versioner inkluderar både spänningsstabilisatorer och autonom strömförsörjning, samt speciella kontakter för att ansluta en nätverkskabel genom dem. Om blixten plötsligt slår ner i internetleverantörens utrustning kommer en sådan UPS inte att tillåta en skadlig strömstörning att komma in i nätverkskortet på din dator. Det är värt att komma ihåg att i alla fall är jordningsuttag eller själva utrustningen extremt viktig.
Använder VPN-tunnelbyggande verktyg
Ett ganska tillförlitligt sätt att skydda information som överförs över ett nätverk är VPN-tunnlar (Virtual Private Network). Tunnelteknik låter dig skapa en krypterad kanal genom vilken data överförs mellan flera enheter. Att organisera ett VPN för att förbättra informationssäkerheten är möjligt inom ett hemnätverk, men det är mycket arbetskrävande och kräver specialkunskaper. Den vanligaste metoden att använda ett VPN är att ansluta till din hemdator utifrån, till exempel från en arbetsdator. Således kommer data som överförs mellan dina maskiner att vara väl skyddade av trafikkryptering. För dessa ändamål är det bättre att använda en mycket pålitlig gratis Hamachi-programmet. I det här fallet kommer endast grundläggande kunskaper om att organisera ett VPN att krävas, vilket är inom kapaciteten för en otränad användare.
Introduktion
Relevansen av detta ämne ligger i det faktum att förändringarna som äger rum i Rysslands ekonomiska liv - skapandet av ett finans- och kreditsystem, företag med olika former av ägande etc. - ha en betydande inverkan på informationssäkerhetsfrågor. Under lång tid fanns det i vårt land bara en egendom - statlig egendom, så information och hemligheter var också bara statlig egendom, som skyddades av kraftfulla specialtjänster. Problem informationssäkerhet förvärras ständigt av att tekniska medel för databehandling och överföring, och framför allt datorsystem, tränger in i nästan alla sociala verksamhetsområden. Målen för attacker kan själva vara tekniska medel(datorer och kringutrustning) som materiella objekt, programvara och databaser för vilka tekniska medel är miljön. Varje fel i ett datornätverk är inte bara "moralisk" skada för företagsanställda och nätverksadministratörer. När elektronisk betalningsteknik, "papperslöst" dokumentflöde och andra utvecklas, kan ett allvarligt fel i lokala nätverk helt enkelt förlama hela företags och bankers arbete, vilket leder till betydande materiella förluster. Det är ingen slump att dataskydd i dator nätverk håller på att bli ett av de mest angelägna problemen inom modern datavetenskap. Hittills har två grundläggande principer för informationssäkerhet formulerats, vilka ska säkerställa: - dataintegritet - skydd mot fel som leder till förlust av information, samt obehörigt skapande eller förstörelse av data. - sekretess för information och, samtidigt, dess tillgänglighet för alla auktoriserade användare. Det bör också noteras att vissa verksamhetsområden (banker och finansinstitut, informationsnätverk, system regeringskontrollerad, försvar och särskilda strukturer) kräver särskilda datasäkerhetsåtgärder och ställer ökade krav på driftsäkerhet informationssystem, i enlighet med arten och betydelsen av de uppgifter de löser.
Om en dator är ansluten till ett lokalt nätverk, kan denna dator och informationen på den eventuellt nås av obehöriga personer från det lokala nätverket.
Om det lokala nätverket är anslutet till andra lokala nätverk läggs användare från dessa till i listan över möjliga obehöriga användare. fjärrnätverk. Vi kommer inte att prata om tillgängligheten för en sådan dator från nätverket eller kanaler genom vilka lokala nätverk är anslutna, eftersom det förmodligen finns enheter vid utgångarna från lokala nätverk som krypterar och kontrollerar trafiken, och nödvändiga åtgärder har vidtagits.
Om en dator är ansluten direkt via en leverantör till ett externt nätverk, till exempel via ett modem till Internet, för fjärrinteraktion med dess lokala nätverk, så är datorn och informationen på den potentiellt tillgänglig för hackare från Internet. Och det mest obehagliga är att genom denna dator kan hackare också komma åt lokala nätverksresurser.
Naturligtvis för alla sådana anslutningar heller regelbundna medel operativsystems åtkomstkontroll, eller specialiserade metoder för skydd mot obehörig åtkomst, eller kryptografiska system på nivån för specifika applikationer, eller båda.
Men alla dessa åtgärder kan tyvärr inte garantera den önskade säkerheten under nätverksattacker, och detta förklaras av följande huvudorsaker:
Operativsystem (OS), särskilt WINDOWS, är mjukvaruprodukter av hög komplexitet, vars skapande utförs av stora team av utvecklare. En detaljerad analys av dessa system är extremt svår. I detta sammanhang är det inte möjligt att på ett tillförlitligt sätt styrka frånvaron av standardfunktioner, fel eller odokumenterade funktioner som oavsiktligt eller avsiktligt lämnats kvar i operativsystemet och som skulle kunna användas genom nätverksattacker.
I ett multitasking-operativsystem, särskilt WINDOWS, kan många olika applikationer köras samtidigt...
I det här fallet måste både leverantören och dess klient följa reglerna för informationssäkerhet. Det finns med andra ord två sårbarhetspunkter (på klientsidan och på leverantörssidan), och var och en av deltagarna i detta system tvingas försvara sina intressen.
Utsikt från klientens sida
Att göra affärer i en elektronisk miljö kräver höghastighetsdataöverföringskanaler, och om tidigare leverantörernas huvudsakliga pengar gjordes på att ansluta till Internet, har kunderna nu ganska stränga krav på säkerheten för de tjänster som erbjuds.
Ett antal hårdvaruenheter har dykt upp i väst som ger säkra anslutningar till hemnätverk. Som regel kallas de "SOHO-lösningar" och kombinerar en hårdvarubrandvägg, en hubb med flera portar, en DHCP-server och funktionerna hos en VPN-router. Detta är till exempel den väg som utvecklarna av Cisco PIX Firewall och WatchGuard FireBox tagit. Mjukvarubrandväggar förblir bara på den personliga nivån och de används som ett extra skydd.
Utvecklarna av hårdvarubrandväggar av SOHO-klass anser att dessa enheter bör vara lätta att hantera, "transparenta" (det vill säga osynliga) för användaren av hemnätverket och i kostnad motsvara mängden direkt skada från möjliga åtgärder inkräktare. Genomsnittlig skada för en framgångsrik attack på hemnätverk uppskattas till cirka 500 dollar.
För att skydda ditt hemnätverk kan du använda en mjukvarubrandvägg eller helt enkelt ta bort onödiga protokoll och tjänster från konfigurationsinställningarna. Det bästa alternativet är att leverantören testar flera personliga brandväggar, konfigurerar sitt eget säkerhetssystem på dem och ger teknisk support för dem. I synnerhet är detta precis vad 2COM-leverantören gör, som erbjuder sina kunder en uppsättning testade skärmar och tips om hur de ställs in. I det enklaste fallet rekommenderas det att förklara nästan alla nätverksadresser farliga, förutom adresserna lokal dator och gatewayen genom vilken anslutningen till Internet upprättas. Om en mjukvaru- eller hårdvaruskärm på klientsidan upptäcker tecken på intrång ska detta omedelbart rapporteras till tjänsten teknisk support leverantör.
Det bör noteras att en brandvägg skyddar mot externa hot, men skyddar inte mot användarfel. Därför, även om leverantören eller klienten har installerat något slags säkerhetssystem, måste båda parter fortfarande följa ett antal ganska enkla regler för att minimera sannolikheten för attacker. Först bör du lämna så lite personlig information som möjligt på Internet, försöka undvika att betala med kreditkort, eller åtminstone kontrollera att servern har ett digitalt certifikat. För det andra bör du inte ladda ner från Internet och köra några program på din dator, särskilt gratis. Det rekommenderas inte heller att göra lokala resurser tillgängliga externt, installera stöd för onödiga protokoll (som IPX eller SMB) eller använda standardinställningar (till exempel dölja filtillägg).
Det är särskilt farligt att köra skript som är kopplade till bokstäver E-post, men det är bättre att inte använda Outlook alls, eftersom de flesta virus är skrivna specifikt för den här e-postklienten. I vissa fall är det säkrare att använda webbposttjänster för att arbeta med e-post, eftersom virus som regel inte sprids genom dem. Till exempel erbjuder 2COM-leverantören en gratis webbtjänst som låter dig läsa extern information brevlådor och ladda upp till lokal maskin bara de meddelanden du behöver.
Leverantörer tillhandahåller vanligtvis inte säkra åtkomsttjänster. Faktum är att klientens sårbarhet ofta beror på hans egna handlingar, så i händelse av en framgångsrik attack är det ganska svårt att bevisa vem som exakt gjorde misstaget - klienten eller leverantören. Dessutom måste faktumet av attacken fortfarande registreras, och detta kan endast göras med beprövade och certifierade medel. Att bedöma skadan som orsakats av ett hack är inte heller lätt. Som regel bestäms endast dess minimivärde, kännetecknat av tiden för att återställa normal drift av systemet.
Leverantörer kan säkerställa säkerheten för posttjänster genom att kontrollera all inkommande post med hjälp av antivirusprogram, samt blockerar alla protokoll utom de viktigaste (webb, e-post, nyheter, ICQ, IRC och några andra). Operatörer kan inte alltid spåra vad som händer i hemnätverkets interna segment, men eftersom de tvingas försvara sig mot externa attacker (vilket är förenligt med användarskyddspolicyer) måste kunderna interagera med sina säkerhetsteam. Man bör komma ihåg att leverantören inte garanterar absolut säkerhet för användare - den strävar bara efter sin egen kommersiella vinning. Ofta är attacker på abonnenter förknippade med en kraftig ökning av mängden information som överförs till dem, vilket faktiskt är hur operatören tjänar pengar. Detta innebär att leverantörens intressen ibland kan komma i konflikt med konsumentens intressen.
Leverantörens perspektiv
För leverantörer av hemnätverk är de största problemen obehöriga anslutningar och hög intern trafik. Hemnätverk används ofta för att vara värd för spel som inte sträcker sig utanför det lokala nätverket i en bostadsbyggnad, men som kan leda till blockering av hela segment av den. I det här fallet blir det svårt att arbeta på Internet, vilket orsakar rättvis missnöje bland kommersiella kunder.
Ur ett kostnadsperspektiv är leverantörer intresserade av att minimera kostnaderna för att säkra och övervaka sitt hemnätverk. Samtidigt kan de inte alltid organisera ett ordentligt skydd för kunden, eftersom detta kräver vissa kostnader och begränsningar från användarens sida. Tyvärr håller inte alla prenumeranter med om detta.
Vanligtvis är hemnätverk strukturerade enligt följande: det finns en central router som har en internetåtkomstkanal, och ett omfattande nätverk av blocket, huset och entrén är ansluten till den. Naturligtvis fungerar routern som en brandvägg som skiljer hemnätverket från resten av Internet. Den implementerar flera säkerhetsmekanismer, men den vanligaste är adressöversättning, vilket gör att du samtidigt kan dölja den interna nätverksinfrastrukturen och spara leverantörens riktiga IP-adresser.
Vissa leverantörer ger dock sina kunder riktiga IP-adresser (till exempel sker detta i nätverket i Mitino-mikrodistriktet, som är anslutet till Moskva-leverantören MTU-Intel). I det här fallet blir användarens dator direkt åtkomlig från Internet, vilket gör den svårare att skydda. Det är inte förvånande att bördan av tillhandahållande informationssäkerhet faller helt på abonnenterna, medan operatören är kvar med det enda sättet kontroll över sina handlingar - genom IP- och MAC-adresser. Men moderna Ethernet-adaptrar tillåter dig att programmässigt ändra båda parametrarna på operativsystemnivå, och leverantören är försvarslös mot en skrupellös klient.
Naturligtvis kräver vissa applikationer tilldelning av riktiga IP-adresser. Att ge en riktig statisk IP-adress till en klient är ganska farligt, för om servern med denna adress framgångsrikt attackeras kommer resten av det interna nätverket att bli tillgängligt via den.
En av kompromisslösningarna på problemet säker användning IP-adresser i ett hemnätverk är införandet av VPN-teknik kombinerat med en mekanism för dynamisk adressdistribution. Kortfattat är schemat följande. En krypterad tunnel upprättas från klientdatorn till routern med hjälp av PPTP-protokollet. Eftersom detta protokoll har stöds av Windows OS sedan version 95, och är nu implementerat för andra operativsystem, klienten behöver inte installera ytterligare programvara - de behöver bara konfigurera de redan installerade komponenterna. När en användare ansluter till Internet upprättar han först en anslutning till routern, loggar sedan in, får en IP-adress och först då kan han börja arbeta på Internet.
Denna typ av anslutning motsvarar en vanlig uppringd anslutning med skillnaden att när du installerar den kan du ställa in nästan vilken hastighet som helst. Även kapslade VPN-undernät fungerar enligt detta schema, som kan användas för att fjärransluta klienter till företagets nätverk. Under varje användarsession tilldelar leverantören dynamiskt antingen en riktig eller virtuell IP-adress. Förresten, 2COM:s riktiga IP-adress kostar $1 per månad mer än en virtuell.
För att implementera VPN-anslutningar har 2COM utvecklat en egen specialiserad router som utför alla funktioner som anges ovan plus tjänstepriser. Det bör noteras att paketkryptering inte är ansvaret för CPU, men på en specialiserad samprocessor, som gör att du samtidigt kan stödja upp till 500 virtuella VPN-kanaler. En sådan kryptorouter på 2COM-nätverket används för att ansluta flera hus samtidigt.
Allmänt på bästa möjliga sätt hemnätverksskydd är ett nära samspel mellan leverantören och kunden, inom vilket alla har möjlighet att försvara sina intressen. Vid första anblicken verkar säkerhetsmetoder för hemnätverk liknande dem som används för att säkra företags säkerhet, Men det är det faktiskt inte. Det är vanligt att företag upprättar ganska strikta beteenderegler för anställda, i enlighet med en given informationssäkerhetspolicy. Det här alternativet fungerar inte i ett hemnätverk: varje klient kräver sina egna tjänster och måste skapa generella regler beteende är inte alltid framgångsrikt. Följaktligen är det mycket svårare att bygga ett pålitligt säkerhetssystem för hemnätverk än att säkerställa säkerheten i ett företagsnätverk.
PNST301-2018/ISO/IEC 24767-1:2008
RYSKA FEDERATIONENS PRELIMINÄRA NATIONELLA STANDARD
Informationsteknologi
SÄKERHET I HEMMANÄT
Säkerhetskrav
Informationsteknologi. Säkerhet för hemnätverk. Del 1.Säkerhetskrav
OKS 35.110, 35.200,35.240.99
Gäller från 2019-02-01
Förord
Förord
1 FÖRBEREDAD av Federal State Budgetary Educational Institute of Higher Education "Russian Economic University named after G.V. Plekhanov" (FSBEI HE "REU named after G.V. Plekhanov") baserat på dess egen översättning till ryska av den engelska versionen av den internationella standard som anges i paragraf 4
2INTRODUCERAD av den tekniska kommittén för standardisering TC 22 "Informationsteknik"
3GODKÄND OCH TRÄTT I KRÄFTNING genom order från Federal Agency for Technical Regulation and Metrology daterad 4 september 2018 N38-pnst
4Denna standard är identisk med den internationella standarden ISO/IEC 24767-1:2008* "Informationsteknik - Hemnätverkssäkerhet - Del 1: Säkerhetskrav", IDT)
________________
*Tillgång till internationella och utländska dokument som nämns här och längre fram i texten kan erhållas genom att följa länken till webbplatsen. - Anteckning från databastillverkaren.
Reglerna för att tillämpa denna standard och utföra dess övervakning är fastställda i GOST R 1.16-2011 (5 och 6 §§).
Federal Agency for Technical Regulation and Metrology samlar in information om den praktiska tillämpningen av denna standard. Denna information, samt kommentarer och förslag på innehållet i standarden, kan skickas senast 4 dagar i förväg. månader före utgången av dess giltighetstid till utvecklaren av denna standard på adressen: 117997 Moscow, Stremyanny Lane, 36, Federal State Budgetary Educational Institute of Higher Education "REU"uppkallad efter G.V. Plekhanov" och till Federal Agency for Technical Regulation and Metroology på: 109074 Moskva, Kitaygorodsky proezd, 7, byggnad 1.
I händelse av annullering av denna standard kommer den relevanta informationen att publiceras i det månatliga informationsindexet "National Standards" och kommer också att publiceras på den officiella webbplatsen för Federal Agency for Technical Regulation and Metrology på Internet (www.gost.ru)
Introduktion
ISO (International Organization for Standardization) och IEC (International Electrotechnical Commission) utgör ett specialiserat system för världsomspännande standardisering. Statliga organ som är medlemmar i ISO eller IEC deltar i utvecklingen av internationella standarder genom tekniska kommittéer. Alla intresserade organ som är medlemmar i ISO eller IEC kan delta i utvecklingen av en standard inom ett specifikt område. Andra internationella organisationer, statliga och icke-statliga, i kontakt med ISO och IEC är också involverade i arbetet.
Inom området informationsteknologi har ISO och IEC inrättat den gemensamma tekniska kommittén ISO/IEC JTC 1. Utkast till internationella standarder som utarbetats av den gemensamma tekniska kommittén sänds ut till nationella kommittéer för omröstning. Publicering som en internationell standard kräver godkännande av minst 75 % av de röstberättigade nationella kommittéerna.
Formella beslut eller överenskommelser från IEC och ISO i tekniska frågor uttrycker, så långt det är möjligt, internationell konsensus om de berörda frågorna, eftersom varje teknisk kommitté har representanter från alla berörda nationella IEC- och ISO-medlemskommittéer.
Publikationer av IEC, ISO och ISO/IEC har formen av rekommendationer för internationell användning och antas av de nationella kommittéerna - medlemmar av IEC och ISO just i denna förståelse. Även om alla ansträngningar har gjorts för att säkerställa noggrannhet tekniskt innehåll IEC, ISO och ISO/IEC publikationer, IEC eller ISO tar inget ansvar för det sätt på vilket de används eller för deras misstolkningar av slutanvändaren.
För att säkerställa internationell enhet (ett enda system) åtar sig de nationella kommittéerna i IEC och ISO att säkerställa maximal transparens i tillämpningen av internationella standarder för IEC, ISO och ISO/IEC, så långt det gäller nationella och regionala förhållanden i ett givet land tillåta. Alla avvikelser mellan ISO/IEC-publikationer och relevanta nationella eller regionala standarder ska tydligt anges i de senare.
ISO och IEC tillhandahåller inte märkningsprocedurer och ansvarar inte för någon utrustning som hävdar överensstämmelse med någon av ISO/IEC-standarderna.
Alla användare bör se till att de använder den senaste utgåvan av denna publikation.
IEC eller ISO, deras ledning, anställda, anställda eller representanter, inklusive enskilda experter och medlemmar av deras tekniska kommittéer, och medlemmar av IEC eller ISO:s nationella kommittéer ska inte hållas ansvariga för olyckor, skador på egendom eller andra skador, direkt eller indirekt, eller för kostnader (inklusive juridiska kostnader) som uppstår i samband med publiceringen av eller från användningen av denna ISO/IEC-publikation eller annan IEC-, ISO- eller ISO/IEC-publikation.
Särskild uppmärksamhet krävs för den regulatoriska dokumentationen som citeras i denna publikation. Användningen av refererade dokument är nödvändig för korrekt tillämpning av denna publikation.
Uppmärksamhet uppmärksammas på att vissa delar av denna internationella standard kan vara föremål för patenträttigheter. ISO och IEC är inte ansvariga för att fastställa några eller alla sådana patenträttigheter.
Internationell standard ISO/IEC 24767-1 har utvecklats av Joint Technical Committee ISO/IEC 1, Information technology, Subcommittee 25, Information technology equipment interconnections.
En lista över alla för närvarande tillgängliga delar av ISO/IEC 24767-serien under den allmänna titeln "Informationsteknik - Hemnätverkssäkerhet" presenteras på IEC:s webbplats.
1 användningsområde
Denna standard definierar kraven för att skydda ett hemnätverk från interna eller externa hot. Standarden ligger till grund för utvecklingen av säkerhetssystem som skyddar den interna miljön från olika hot.
Säkerhetskrav behandlas på ett relativt informellt sätt i denna standard. Även om många av de frågor som diskuteras i denna standard ger vägledning för utformning av säkerhetssystem för både intranät och Internet, är de informella krav till sin natur.
Ansluten till det interna (hem)nätverket olika enheter(se figur 1). "Appliance-nätverksenheter", "AV-underhållning"-enheter och "informationsprogram"-enheter har olika funktioner och prestandaegenskaper. Denna standard tillhandahåller verktyg för att analysera riskerna för varje enhet som är ansluten till ett nätverk och fastställa säkerhetskraven för varje enhet.
2Termer, definitioner och förkortningar
2.1Villkor och definitioner
Följande termer och definitioner används i denna standard:
2.1.1 hemelektronik(bruna varor): Ljud-/videoenheter som främst används för underhållningsändamål, såsom en tv- eller DVD-inspelare.
2.1.2sekretess(sekretess): En egenskap som säkerställer otillgänglighet och icke-utlämnande av information till obehöriga personer, organisationer eller processer.
2.1.3 dataautentisering(dataautentisering): En tjänst som används för att säkerställa korrekt verifiering av en påstådd datakälla.
2.1.4 dataintegritet(dataintegritet): En egenskap som verifierar att data inte har modifierats eller förstörts på ett obehörigt sätt.
2.1.5 användarautentisering(användarautentisering): En tjänst för att säkerställa att den autentiseringsinformation som tillhandahålls av en kommunikationsdeltagare är korrekt verifierad, medan auktoriseringstjänsten säkerställer att den identifierade och auktoriserade användaren har tillgång till specifik enhet eller hemnätverksapplikation.
2.1.6 Vitvaror(vitvaror): Enheter som används i dagligt bruk, såsom luftkonditionering, kylskåp, etc.
2.2 Förkortningar
Följande förkortningar används i denna standard:
3 Efterlevnad
Denna standard ger vägledning utan några krav på överensstämmelse.
4Säkerhetskrav för interna hemelektroniksystem och nätverk
4.1 Allmänna bestämmelser
Med den snabba utvecklingen av Internet och relaterade nätverksteknologier har det blivit möjligt att upprätta kopplingar mellan datorer på kontor och hem med omvärlden, vilket ger tillgång till en mängd olika resurser. Idag har teknologin som underbyggt den framgången nått våra hem och gör det möjligt att ansluta apparater precis som personliga datorer. De tillåter alltså inte bara användare att övervaka och styra sina hushållsapparater, både i och utanför hemmet, utan skapar också nya tjänster och möjligheter, såsom fjärrstyrning och underhåll av hushållsapparater. Detta innebär att den vanliga datormiljön hemma omvandlas till ett internt hemnätverk som ansluter många enheter, vars säkerhet också måste säkerställas.
Det är nödvändigt att boende, användare och ägare av både hemmet och systemet litar på hemelektroniken. Hemelektroniksäkerhetsmål stödsystem lita på systemet. Eftersom många hemgjorda komponenter elektroniskt systemär i drift kontinuerligt, 24 timmar om dygnet, och automatiskt utbyter information med omvärlden, är informationssäkerhet nödvändig för att säkerställa konfidentialitet, integritet och tillgänglighet för data och systemet.En korrekt implementerad säkerhetslösning innebär till exempel att tillgång till systemet och lagrad, inkommande och utgående data endast auktoriserade användare och processer tar emot, samt att endast auktoriserade användare kan använda systemet och göra ändringar i det.
Säkerhetskrav för ett HES-nät kan beskrivas på flera sätt. Denna standard är begränsad till IT-säkerheten i HES-nätverket. IT-säkerheten måste dock sträcka sig utanför själva systemet, eftersom hemmet måste fungera, om än i begränsad kapacitet, vid ett IT-systemfel.De intelligenta funktioner som typiskt sett stöds av ett HES-nät kan även utföras vid systemanslutningar är försvunna. I sådana fall kan det förstås att det finns säkerhetskrav som inte kan vara en del av själva systemet, men systemet bör inte förbjuda implementering av reservlösningar.
Det finns ett antal personer som är intresserade av säkerhetsfrågor. Det elektroniska hemsystemet måste lita på inte bara av boende och ägare, utan även av tjänste- och innehållsleverantörer. De senare måste säkerställa att de tjänster och innehåll de erbjuder endast används på ett auktoriserat sätt. En av grunderna för systemsäkerhet är dock att en specifik säkerhetsadministratör ska vara ansvarig för det. Självklart bör ett sådant ansvar tilldelas de boende (systemägare). Det spelar ingen roll om administratören gör detta personligen eller lägger ut det på entreprenad. Ansvaret ligger i alla fall på säkerhetssystemets administratör. Tjänste- och innehållsleverantörernas förtroende för det elektroniska hemsystemet och deras förtroende för att användarna använder deras tjänster och innehåll på lämpligt sätt bestäms av avtalsförpliktelserna mellan parterna. Kontraktet kan till exempel lista de funktioner, komponenter eller processer som ett hemelektroniksystem måste stödja.
Arkitekturen för hemelektroniken är olika för olika typer av hus. Alla modeller kan ha sina egna specifika säkerhetskrav. Nedan finns beskrivningar av tre olika modeller av hemelektroniksystem med olika uppsättningar av säkerhetskrav.
Uppenbarligen är vissa säkerhetskrav viktigare än andra. Det är således klart att stöd för vissa motåtgärder kommer att vara frivilligt. Dessutom kan motåtgärder variera i kvalitet och kostnad. Det kan också krävas olika färdigheter för att hantera och upprätthålla sådana motåtgärder. Denna standard försöker förtydliga skälen för de säkerhetskrav som anges och gör det möjligt för designare av hemelektroniksystem att avgöra vilka säkerhetsfunktioner en viss produkt ska stödja. hemsystem och, med hänsyn till kvalitetskrav och lednings- och underhållsinsatser, vilken mekanism som bör väljas för sådana funktioner.
Säkerhetskraven för ett internt nätverk beror på definitionen av säkerhet och "hem" och vad som menas med "nätverk" i det hemmet. Om ett nätverk helt enkelt är en länk som ansluter en enda dator till en skrivare eller kabelmodem, är det lika enkelt att säkra ditt hemnätverk som att säkra den länken och utrustningen den ansluter.
Men om det finns dussintals, om inte hundratals, nätverksanslutna enheter i en domän, av vilka en del tillhör hushållet som helhet och en del tillhör människor i hemmet, kommer mer sofistikerade säkerhetsåtgärder att behöva implementeras.
4.2 Säkerhet för hemelektroniksystem
4.2.1 Definition av hemelektroniksystem och systemsäkerhet
Ett hemelektroniksystem och nätverk kan definieras som samlingen av element som bearbetar, överför, lagrar och hanterar information, vilket ger anslutning och integration till de många dator-, kontroll-, övervaknings- och kommunikationsenheter som finns i hemmet.
Dessutom tillhandahåller hemelektronik och nätverk sammankoppling mellan underhållnings- och informationsenheter, såväl som kommunikations- och säkerhetsanordningar och hushållsapparater i hemmet. Sådana enheter och enheter kommer att utbyta information, de kan styras och övervakas när de är i huset eller på distans. Följaktligen kommer alla interna hemnätverk att kräva vissa säkerhetsmekanismer för att skydda sin dagliga verksamhet.
Nätverks- och informationssäkerhet kan förstås som ett nätverks eller informationssystems förmåga att motstå slumpmässiga händelser eller skadliga handlingar på en viss nivå. Sådana händelser eller åtgärder kan äventyra tillgängligheten, äktheten, äktheten och konfidentialiteten för lagrad eller överförd data, såväl som relaterade tjänster som erbjuds via sådana nätverk och system.
Informationssäkerhetsincidenter kan grupperas i följande grupper:
Elektronisk kommunikation kan avlyssnas och data kan kopieras eller ändras. Detta kan resultera i skada orsakad både av kränkning av individens rätt till konfidentialitet och av missbruk av avlyssnad data;
Obehörig åtkomst till en dator och interna datornätverk utförs vanligtvis med uppsåt att kopiera, ändra eller förstöra data och kan sträcka sig till automatisk utrustning och system som finns i hemmet;
Skadliga attacker på Internet har blivit ganska vanliga, och telefonnätet kan också bli mer sårbart i framtiden;
Skadlig programvara, som virus, kan inaktivera datorer, radera eller ändra data eller programmera om hushållsapparater. Vissa virusattacker har varit ganska destruktiva och kostsamma;
Felaktig framställning av information om enskilda eller juridiska personer kan orsaka betydande skada, till exempel kan kunder ladda ner skadlig programvara från en webbplats som maskerar sig som en pålitlig källa, kontrakt kan sägas upp eller konfidentiell information kan skickas till olämpliga mottagare;
Många informationssäkerhetsincidenter involverar oväntade och oavsiktliga händelser, såsom naturkatastrofer (översvämningar, stormar och jordbävningar), hårdvara eller programvara, såväl som den mänskliga faktorn.
Idag har nästan varje lägenhet ett hemnätverk till vilket stationära datorer, bärbara datorer, datalagringsenheter (NAS), mediaspelare, smarta TV-apparater samt smartphones, surfplattor och andra bärbara enheter är anslutna. Antingen trådbundna (Ethernet) eller trådlösa (Wi-Fi) anslutningar och TCP/IP-protokoll används. Med utvecklingen av Internet of Things-tekniken har hushållsapparater - kylskåp, kaffebryggare, luftkonditionering och till och med elektrisk installationsutrustning - kommit online. Tack vare lösningarna" Smart hus"Vi kan styra ljusstyrkan på belysningen, fjärrjustera inomhusmikroklimatet, slå på och stänga av olika enheter - detta gör livet mycket lättare, men kan skapa allvarliga problem för ägaren av avancerade lösningar.
Tyvärr bryr sig utvecklarna av sådana enheter ännu inte tillräckligt om säkerheten för sina produkter, och antalet sårbarheter som finns i dem växer som svampar efter regn. Det finns ofta fall när en enhet inte längre stöds efter att ha kommit in på marknaden - vår TV, till exempel, har 2016 firmware installerad, baserad på Android 4, och tillverkaren kommer inte att uppdatera den. Gästerna lägger också till problem: det är obekvämt att neka dem tillgång till Wi-Fi, men du vill inte heller släppa in vem som helst i ditt mysiga nätverk. Vem vet vilka virus som kan bosätta sig hos främlingar? mobiltelefoner? Allt detta leder oss till behovet av att dela upp hemnätverket i flera isolerade segment. Låt oss försöka ta reda på hur man gör detta, som de säger, med lite blod och med minsta ekonomiska kostnader.
Isolera Wi-Fi-nätverk
I företagsnätverk är problemet enkelt att lösa – det finns hanterade switchar med stöd för virtuella lokala nätverk (VLAN), olika routrar, brandväggar och trådlösa åtkomstpunkter – du kan bygga det erforderliga antalet isolerade segment på ett par timmar. Med hjälp av Traffic Inspector Next Generation (TING)-enheten, till exempel, löses problemet med bara några klick. Det räcker att ansluta switchen för gästnätverkssegmentet till en separat Ethernet-port och skapa brandväggsregler. Det här alternativet är inte lämpligt för hemmet på grund av den höga kostnaden för utrustningen - oftast hanteras vårt nätverk av en enhet som kombinerar funktionerna hos en router, switch, trådlös åtkomstpunkt och Gud vet vad mer.
Lyckligtvis har moderna hushållsroutrar (även om det vore mer korrekt att kalla dem för internetcenter) också blivit väldigt smarta och nästan alla, utom de mycket budgetära, har förmågan att skapa ett isolerat gäst-Wi-Fi-nätverk. Tillförlitligheten hos just denna isolering är en fråga för en separat artikel; idag kommer vi inte att undersöka firmwaren för hushållsapparater från olika tillverkare. Låt oss ta ZyXEL Keenetic Extra II som ett exempel. Nu har den här linjen helt enkelt blivit kallad Keenetic, men vi fick tag på en enhet som släpptes under varumärket ZyXEL.
Att konfigurera via webbgränssnittet kommer inte att orsaka några svårigheter även för nybörjare - några klick, och vi har ett separat trådlöst nätverk med eget SSID, WPA2-skydd och lösenord för åtkomst. Du kan tillåta gäster att delta i det, samt slå på TV-apparater och spelare med firmware som inte har uppdaterats på länge, eller andra klienter som du inte litar särskilt på. I de flesta enheter från andra tillverkare finns även denna funktion, upprepar vi, och aktiveras på samma sätt. Så här löser man till exempel problemet i firmware D-Link routrar med hjälp av installationsguiden.
Du kan lägga till ett gästnätverk när enheten redan är konfigurerad och fungerar.
Skärmdump från tillverkarens hemsida
Skärmdump från tillverkarens hemsida
Vi isolerar Ethernet-nätverk
Förutom att klienter ansluter till det trådlösa nätverket kan vi stöta på enheter med trådbundet gränssnitt. Experter kommer att säga att för att skapa isolerade Ethernet-segment används så kallade VLAN - virtuella lokala nätverk. Vissa hemroutrar stöder denna funktion, men det är här som uppgiften blir mer komplicerad. Jag vill inte bara göra ett separat segment, vi måste kombinera portar för en trådbunden anslutning med ett trådlöst gästnätverk på en router. Inte alla hushållsenheter kan hantera detta: en ytlig analys visar att förutom Keenetic Internet-center lägger man till Ethernet-portar till en enda Wi-Fi-nätverk Modeller från MikroTik-linjen är också kapabla till gästsegmentet, men processen att ställa in dem är inte längre så självklar. Om vi pratar om hushållsroutrar med jämförbara priser är det bara Keenetic som kan lösa problemet med ett par klick i webbgränssnittet.
Som du kan se klarade testpersonen lätt problemet, och här är det värt att uppmärksamma en annan intressant funktion - du kan också isolera gästnätverkets trådlösa klienter från varandra. Detta är mycket användbart: din väns smartphone som är infekterad med skadlig programvara kommer åt Internet, men den kommer inte att kunna attackera andra enheter, inte ens på ett gästnätverk. Om din router har en liknande funktion bör du definitivt aktivera den, även om detta kommer att begränsa möjligheterna till klientinteraktion - det kommer till exempel inte längre att vara möjligt att koppla ihop en TV med en mediaspelare via Wi-Fi, du måste använd en trådbunden anslutning. I det här skedet ser vårt hemnätverk säkrare ut.
Vad är resultatet?
Antalet säkerhetshot växer år för år, och tillverkare smarta enheter de uppmärksammar inte alltid att uppdateringar släpps i tid. I en sådan situation har vi bara en utväg - att differentiera hemnätverksklienter och skapa isolerade segment för dem. För att göra detta behöver du inte köpa utrustning för tiotusentals rubel; ett relativt billigt hushållsinternetcenter kan hantera uppgiften. Här vill jag varna läsarna för att köpa enheter från budgetmärken. Nästan alla tillverkare har nu mer eller mindre samma hårdvara, men kvaliteten på den inbyggda mjukvaran är väldigt olika. Samt varaktigheten av supportcykeln för släppta modeller. Inte varje hushållsrouter klarar ens den ganska enkla uppgiften att kombinera ett trådbundet och trådlöst nätverk i ett isolerat segment, och du kan ha mer komplexa sådana. Ibland behöver du konfigurera ytterligare segment eller DNS-filtrering för att bara komma åt säkra värdar, i stora rum måste du ansluta Wi-Fi-klienter till gästnätverket via externa åtkomstpunkter, etc. och så vidare. Förutom säkerhetsfrågor finns det andra problem: i offentliga nätverk är det nödvändigt att säkerställa registrering av klienter i enlighet med kraven i federal lag nr 97 "Om information, informationsteknologi och om skydd av information." Billiga enheter kan lösa sådana problem, men inte alla - funktionalitet Den inbyggda programvaran de har, upprepar vi, är väldigt olika.
