Vi skyddar routern och hemnätverket. Men hur skyddar man smartphones och surfplattor? Leverantörsperspektiv
Det största hotet mot säkerheten för dina data är World Wide Web. Hur man säkerställer pålitligt skydd hemnätverk?
Ofta tror användare av misstag att ett vanligt antivirusprogram räcker för att skydda en hemdator som är ansluten till Internet. Inskriptionerna på lådorna med routrar är också vilseledande och anger att dessa enheter har en kraftfull brandvägg implementerad på hårdvarunivå som kan skydda mot hackerattacker. Dessa påståenden är bara delvis sanna. Först och främst kräver båda verktygen korrekt inställning. Samtidigt har många antiviruspaket helt enkelt inte en sådan funktion som en brandvägg.
Under tiden börjar den kompetenta konstruktionen av skydd med själva anslutningen till Internet. I moderna hemnätverk används som regel Wi-Fi-routrar med en Ethernet-kabelanslutning. Internetåtkomst via lokalt nätverk stationära datorer och bärbara datorer, smartphones och surfplattor. Dessutom, i ett enda paket finns både själva datorerna och kringutrustning, såsom skrivare och skannrar, av vilka många är anslutna via nätverket.
Genom att hacka sig in på din hotspot kan en angripare inte bara använda din internetanslutning och kontrollera dina hemdatorenheter, utan också placera world wide web olagligt innehåll med hjälp av din IP-adress, samt stjäla information som lagras på utrustning som är ansluten till nätverket. Idag kommer vi att prata om de grundläggande reglerna för att skydda nätverk, upprätthålla deras prestanda och förhindra hacking.
Hårdvara
Modern nätverksutrustning kräver för det mesta konfiguration av säkerhetsverktyg. För det första vi pratar om olika filter, brandväggar och schemalagda åtkomstlistor. En oförberedd användare kan också ställa in säkerhetsparametrar, men du bör vara medveten om några nyanser.
VI ANVÄNDER TRAFIKKRYPTERING När du konfigurerar en åtkomstpunkt, se till att aktivera de mest tillförlitliga trafikskyddsmekanismerna, skapa ett komplext, meningslöst lösenord och använd WPA2-protokollet med AES-krypteringsalgoritmen. WEP-protokollet är föråldrat och kan knäckas på några minuter.
ÄNDRA REGELBUNDET DINA REDOVISNINGSDATA Ställ in starka åtkomstlösenord och byt dem regelbundet (till exempel var sjätte månad). Det enklaste sättet att hacka en enhet där användaren lämnade standardinloggningen och lösenordet "admin" / "admin".
DOLLT SSID SSID-parametern (Service Set Identifier) är det offentliga namnet trådlöst nätverk, som sänds i luften så att den kan ses av användarenheter. Genom att använda alternativet dölj SSID kommer du att skydda dig från nybörjare, men då måste du manuellt ange åtkomstpunktsinställningarna för att ansluta nya enheter.
RÅD När du ställer in åtkomstpunkten för första gången, ändra SSID, eftersom detta namn visar routermodellen, som kan fungera som ett tips till en angripare när han letar efter sårbarheter.
KONFIGURERING AV DEN INBYGGDA BRANDVÄGGEN Routrar är i de flesta fall utrustade med enkla versioner av brandväggar. Med deras hjälp kommer det inte att vara möjligt att noggrant konfigurera många regler för säkert nätverk, men du kan blockera de största sårbarheterna, eller till exempel inaktivera e-postklienter.
ÅTKOMSTBEGRÄNSNING AV MAC-ADRESS Med hjälp av listor med MAC-adresser (Media Access Control) kan du neka åtkomst till det lokala nätverket för de enheter vars fysiska adresser inte finns med i en sådan lista. För att göra detta måste du manuellt skapa listor över utrustning som är tillåten i nätverket. Varje enhet utrustad med nätverksgränssnitt, har en unik MAC-adress tilldelad på fabriken. Den kan kännas igen genom att titta på etiketten eller markeringarna på utrustningen, eller genom att använda speciella kommandon och nätverksskannrar. Om det finns ett webbgränssnitt eller display (till exempel routrar och nätverksskrivare) Du hittar MAC-adressen i inställningsmenyn.
MAC-adressen för datorns nätverkskort finns i dess egenskaper. För att göra detta, gå till menyn "Kontrollpanelen | Nätverk och Internet | Nätverks- och kontrollcenter allmänhetens tillgång”, sedan i den vänstra delen av fönstret, klicka på länken “Ändra adapterinställningar”, högerklicka på nätverkskortet som används och välj “Status”. I fönstret som öppnas måste du klicka på knappen "Detaljer" och titta på raden "Fysisk adress", där sex par nummer kommer att visas som anger MAC-adressen för ditt nätverkskort.
Det finns fler snabb väg. För att använda det, tryck på tangentkombinationen "Win + R", i raden som visas, skriv in CMD och klicka på "OK". I fönstret som öppnas anger du kommandot:
Tryck enter". Hitta i de visade uppgifterna raderna "Fysisk adress" - detta värde är MAC-adressen.
Efter att ha skyddat nätverket fysiskt måste du ta hand om mjukvarudelen av "försvaret". Omfattande antiviruspaket hjälper dig med detta, brandväggar och sårbarhetsskannrar.
KONFIGURERA ÅTKOMST TILL MAPPAR Placera inte mappar med system eller bara viktiga data i kataloger som är tillgängliga för användare av det interna nätverket. Försök också att inte skapa mappar som är tillgängliga från nätverket på systemenheten. Alla sådana kataloger, om det inte finns något speciellt behov, är det bättre att begränsa attributet "Read only". Annars kan ett virus förklädd som dokument lägga sig i den delade mappen.
INSTALLERA BRANDVÄGGEN Mjukvarubrandväggar är vanligtvis lätta att installera och har ett självlärande läge. När det används frågar programmet användaren vilka anslutningar han godkänner och som han anser vara nödvändiga att förbjuda.
Vi rekommenderar att du använder personliga brandväggar inbyggda i populära kommersiella produkter som Kaspersky Internet Security, Norton internet Security, NOD Internet Security, samt gratislösningar som Comodo Firewall. Den vanliga Windows-brandväggen kan tyvärr inte skryta med pålitlig säkerhet, och tillhandahåller endast grundläggande portinställningar.
Sårbarhetstest
Program som innehåller "hål" och felaktigt konfigurerade skyddsverktyg utgör den största faran för en dators och nätverks hälsa.
XSpider Ett lättanvänt program för att skanna nätverket efter sårbarheter. Det gör att du snabbt kan identifiera de flesta av de aktuella problemen, samt ge en beskrivning av dem och, i vissa fall, lösningar. Tyvärr blev verktyget för en tid sedan betalt, och det här är kanske dess enda nackdel.
nmap icke-kommersiellt nätverksskanneröppen källkod. Programmet utvecklades ursprungligen för UNIX-användare, men senare, på grund av ökad popularitet, portades det till Windows. Verktyget är designat för avancerade användare. Nmap har ett enkelt och användarvänligt gränssnitt, men det kommer inte att vara lätt att förstå den data den producerar utan grundläggande kunskaper.
KIS 2013 Detta paket ger inte bara ett omfattande skydd, utan också diagnostiska verktyg. Den kan användas för att skanna installerade program för kritiska sårbarheter. Som ett resultat av denna procedur kommer programmet att presentera en lista över verktyg där luckor måste täppas till, medan du kan ta reda på detaljerad information om var och en av sårbarheterna och hur man åtgärdar det.
Tips för nätverksinstallation
Det är möjligt att göra nätverket säkrare inte bara i det skede då det installeras och konfigureras, utan även när det redan finns. Säkerheten måste ta hänsyn till antalet anslutna enheter, platsen för nätverkskabeln, spridningen av Wi-Fi-signalen och typerna av hinder för den.
POSITIONERING ÅTKOMSTPUNKT Uppskatta vilket territorium du behöver ta med till Wi-Fi-täckningsområdet. Om du bara behöver täcka området av din lägenhet, bör du inte placera en trådlös åtkomstpunkt nära fönstren. Detta kommer att minska risken för avlyssning och hackning av en svagt skyddad kanal av krigsförare - människor som jagar gratis trådlösa Internet-åtkomstpunkter och använder illegala metoder också. Man bör komma ihåg att varje betongvägg minskar signalstyrkan med hälften. Kom också ihåg att garderobsspegeln är en nästan ogenomtränglig skärm för Wi-Fi-signalen, som i vissa fall kan användas för att förhindra utbredning av radiovågor i vissa riktningar i lägenheten. Dessutom tillåter vissa Wi-Fi-routrar dig att hårdvara justera signalstyrkan. Med det här alternativet kan du på konstgjord väg begränsa åtkomsten till endast användare i rummet med hotspot. Nackdelen med denna metod är den möjliga bristen på signal i avlägsna områden i din lägenhet.
LÄGGNING AV KABLAR Ett nätverk organiserat i första hand med användning av kabel ger högsta hastighet och tillförlitlighet för kommunikation, samtidigt som det eliminerar möjligheten att kila in i det från sidan, vilket kan hända med en Wi-Fi-anslutning. möjligheten att kila in den från sidan, vilket kan hända med en Wi-Fi-anslutning.
För att undvika obehörig anslutning, när du lägger kabelnätet, var noga med att skydda ledningarna från mekaniska skador, använd speciella kabelkanaler och undvik områden där sladden kommer att hänga för mycket eller omvänt dras åt för hårt. Lägg inte kabeln nära källor till starka störningar eller i ett område med dålig miljö (kritiska temperaturer och fuktighet). Du kan också använda en skärmad kabel för extra skydd.
VI SKYDDAR FRÅN ELEMENTEN Trådbundna och trådlösa nätverk påverkas av blixten, och i vissa fall kan ett blixtnedslag skada mer än bara nätverksutrustning eller nätverkskort, men också många PC-komponenter. För att minska risken, först och främst, glöm inte jordningen av eluttag och PC-komponenter. Använd pilotenheter som använder skyddskretsar från störningar och överspänningar.
Dessutom kan en källa vara en bättre lösning. avbrottsfri strömförsörjning(POSTEN). Moderna versioner inkluderar både spänningsstabilisatorer och autonom strömförsörjning, samt speciella kontakter för att ansluta en nätverkskabel genom dem. Om en blixt plötsligt slår ner i internetleverantörens utrustning, kommer en sådan UPS inte att låta en skadlig strömstyrka tränga in i nätverkskortet på din dator. Det är värt att komma ihåg att i alla fall är jordningsuttag eller själva utrustningen extremt viktig.
Använda verktygen för att bygga VPN-tunnlar
Ett ganska tillförlitligt sätt att skydda information som överförs över ett nätverk är VPN-tunnlar (Virtual Private Network). Tunnelteknik låter dig skapa en krypterad kanal genom vilken data överförs mellan flera enheter. Det är möjligt att organisera ett VPN för att öka informationssäkerheten inom ett hemnätverk, men det är mycket mödosamt och kräver specialkunskaper. Det vanligaste sättet att använda ett VPN är att ansluta till din hemdator utifrån, till exempel din arbetsdator. Således kommer data som överförs mellan dina maskiner att vara väl skyddade av trafikkryptering. För dessa ändamål är det bättre att använda en mycket pålitlig gratis Hamachi-programmet. I det här fallet krävs endast grundläggande kunskaper om VPN-organisation, vilket ligger inom makten för en oförberedd användare.
Introduktion
Relevansen av detta ämne ligger i det faktum att förändringarna som äger rum i Rysslands ekonomiska liv - skapandet av ett finans- och kreditsystem, företag med olika former av ägande etc. - ha en betydande inverkan på informationssäkerhetsfrågor. Länge fanns i vårt land bara en egendom - statlig egendom, så information och hemligheter var också bara statlig egendom, som bevakades av kraftfulla specialtjänster. Problem informationssäkerhet förvärras ständigt av att tekniska medel för att bearbeta och överföra data tränger in i nästan alla samhällsområden, och framför allt till datorsystem. Intrångsobjekten kan vara dem själva tekniska medel(datorer och kringutrustning) som materiella objekt, programvara och databaser, för vilka tekniska medel är miljön. Varje fel i ett datornätverk är inte bara en "moralisk" skada för företagets anställda och nätverksadministratörer. Med utvecklingen av elektroniska betalningstekniker, "papperslöst" arbetsflöde och andra, kan ett allvarligt fel i lokala nätverk helt enkelt förlama hela företags och bankers arbete, vilket leder till förödande materiella förluster. Det är ingen slump att dataskydd i dator nätverk blir ett av de mest akuta problemen inom modern datavetenskap. Hittills har två grundläggande principer för informationssäkerhet formulerats, vilka ska säkerställa: - dataintegritet - skydd mot misslyckanden som leder till förlust av information, samt obehörigt skapande eller förstörelse av data. - sekretess för information och samtidigt dess tillgänglighet för alla auktoriserade användare. Det bör också noteras att vissa verksamhetsområden (bank- och finansinstitut, informationsnätverk, system regeringskontrollerad, försvar och speciella strukturer) kräver särskilda datasäkerhetsåtgärder och ställer ökade krav på driftsäkerheten informationssystem, i enlighet med arten och betydelsen av de uppgifter de löser.
Om en dator är ansluten till ett lokalt nätverk, kan potentiellt obehörig åtkomst till denna dator och information i den från det lokala nätverket erhållas.
Om det lokala nätverket är anslutet till andra lokala nätverk läggs användare från dessa till de eventuella obehöriga användarna. fjärrnätverk. Vi kommer inte att prata om tillgängligheten för en sådan dator från nätverket eller kanaler genom vilka de lokala nätverken var anslutna, eftersom det förmodligen finns enheter vid utgångarna av de lokala nätverken som krypterar och kontrollerar trafiken, och nödvändiga åtgärder har vidtagits.
Om en dator är ansluten direkt via en leverantör till ett externt nätverk, till exempel via ett modem till Internet, för fjärrinteraktion med dess lokala nätverk, så är datorn och informationen i den potentiellt tillgänglig för hackare från Internet. Och det mest obehagliga är att hackare också kan komma åt lokala nätverksresurser via den här datorn.
Naturligtvis för alla sådana anslutningar heller vanliga medel operativsystems åtkomstkontroll, eller specialiserade metoder för skydd mot obehörig åtkomst, eller kryptografiska system på nivån för specifika applikationer, eller båda.
Men alla dessa åtgärder kan tyvärr inte garantera den önskade säkerheten under nätverksattacker, och detta beror på följande huvudorsaker:
Operativsystem (OS), särskilt WINDOWS, är mjukvaruprodukter hög komplexitet, som skapas av stora team av utvecklare. Det är extremt svårt att göra en detaljerad analys av dessa system. I detta sammanhang är det inte möjligt att på ett tillförlitligt sätt motivera för dem frånvaron av standardfunktioner, fel eller odokumenterade funktioner som oavsiktligt eller avsiktligt lämnats i OS, och som skulle kunna användas genom nätverksattacker, det är inte möjligt.
I ett multitasking-operativsystem, särskilt WINDOWS, kan många olika applikationer köras samtidigt, ...
Informationssäkerhetsregler måste i detta fall följas av både leverantören och dennes klient. Det finns med andra ord två sårbarhetspunkter (på klientsidan och på leverantörssidan), och var och en av deltagarna i detta system tvingas försvara sina intressen.
Kundens perspektiv
Att göra affärer i en elektronisk miljö kräver dataöverföringskanaler med hög hastighet, och om tidigare leverantörernas huvudsakliga pengar tjänades på att ansluta till Internet, har kunderna nu ganska stränga krav på säkerheten för de tjänster som erbjuds.
I väst har det dykt upp ett antal hårdvaruenheter som ger en säker anslutning till hemnätverk. De kallas vanligtvis för "SOHO-lösningar" och kombinerar en hårdvarubrandvägg, ett nav med flera portar, en DHCP-server och en VPN-routerfunktion. Till exempel tog utvecklarna av Cisco PIX Firewall och WatchGuard FireBox denna väg. Mjukvarubrandväggar har bara legat kvar på den personliga nivån och de används som ett extra skydd.
Utvecklarna av hårdvarubrandväggar av SOHO-klass anser att dessa enheter ska vara lätta att hantera, "transparenta" (det vill säga osynliga) för användaren av hemnätverket och i kostnad motsvara mängden direkt skada från möjliga åtgärder angripare. Den genomsnittliga mängden skada i en framgångsrik attack på hemnätverk värderas till cirka 500 dollar.
För att skydda ditt hemnätverk kan du också använda en mjukvarubrandvägg eller helt enkelt ta bort onödiga protokoll och tjänster från konfigurationsinställningarna. Det bästa alternativet är att leverantören testar flera personliga brandväggar, konfigurerar sitt eget säkerhetssystem på dem och ger teknisk support för dem. I synnerhet är detta precis vad 2COM-leverantören gör, som erbjuder sina kunder en uppsättning testade skärmar och tips för att sätta upp dem. I det enklaste fallet rekommenderas att nästan alla nätverksadresser förklaras farliga, förutom adresser lokal dator och gatewayen genom vilken anslutningen till Internet upprättas. Om en mjukvaru- eller hårdvaruskärm på klientsidan har upptäckt tecken på ett intrång ska detta omedelbart rapporteras till leverantörens tekniska supporttjänst.
Det bör noteras att brandväggen skyddar mot externa hot, men skyddar inte mot användarfel. Därför, även om leverantören eller klienten har installerat något slags skyddssystem, måste båda parter fortfarande följa ett antal ganska enkla regler för att minimera sannolikheten för attacker. Först bör du lämna så lite personlig information som möjligt på Internet, försöka undvika att betala med kreditkort, eller åtminstone kontrollera att servern har ett digitalt certifikat. För det andra bör du inte ladda ner från webben och köra några program på din dator, särskilt gratis. Det rekommenderas inte heller att göra lokala resurser tillgängliga utifrån, stödja onödiga protokoll (som IPX eller SMB) eller använda standardinställningar (som att dölja filtillägg).
Det är särskilt farligt att köra skript som bifogas e-postmeddelanden. E-post, och det är bättre att inte använda Outlook alls, eftersom de flesta virus är skrivna specifikt för denna e-postklient. I vissa fall är det säkrare att använda webbposttjänster för e-post, eftersom virus vanligtvis inte sprids genom dem. Till exempel erbjuder 2COM-leverantören en gratis webbtjänst som låter dig läsa extern information brevlådor och ladda upp till lokal maskin endast relevanta meddelanden.
Leverantörer tillhandahåller vanligtvis inte säkra åtkomsttjänster. Faktum är att klientens sårbarhet ofta beror på hans egna handlingar, så i händelse av en lyckad attack är det ganska svårt att bevisa vem som exakt gjorde misstaget - klienten eller leverantören. Dessutom måste faktumet av attacken fortfarande registreras, och detta kan endast göras med hjälp av beprövade och certifierade medel. Att bedöma skadorna av ett inbrott är inte heller lätt. Som regel bestäms endast dess minimivärde, vilket kännetecknas av tiden för att återställa systemets normala funktion.
Leverantörer kan säkerställa säkerheten för e-posttjänster genom att kontrollera all inkommande post med antivirusprogram, samt blockera alla protokoll utom de viktigaste (webb, e-post, nyheter, ICQ, IRC och några andra). Operatörer kan inte alltid spåra vad som händer i hemnätverkets interna segment, men eftersom de tvingas försvara sig mot externa attacker (vilket också överensstämmer med användarskyddspolicyn) måste kunderna interagera med sina säkerhetstjänster. Man bör komma ihåg att leverantören inte garanterar användarnas absoluta säkerhet - den strävar bara efter sina egna kommersiella fördelar. Ofta är attacker på abonnenter förknippade med en kraftig ökning av mängden information som överförs till dem, som operatören faktiskt tjänar pengar på. Detta innebär att leverantörens intressen ibland kan komma i konflikt med konsumentens intressen.
Leverantörsperspektiv
För leverantörer av hemnätverk är de största problemen obehöriga anslutningar och hög intern trafik. Hemnätverk används ofta för spel som inte går utöver det lokala nätverket i ett bostadshus, men som kan leda till blockering av hela segment av det. I det här fallet blir det svårt att arbeta på Internet, vilket orsakar rättvis missnöje hos kommersiella kunder.
När det gäller finansiella kostnader är leverantörer intresserade av att minimera de medel som används för att säkerställa skyddet och kontrollen av hemnätverket. Samtidigt kan de inte alltid organisera ett korrekt skydd av klienten, eftersom detta kräver vissa kostnader och begränsningar från användarens sida. Tyvärr håller inte alla prenumeranter med om detta.
Vanligtvis är hemnätverk ordnade enligt följande: det finns en central router som har en internetåtkomstkanal, och ett omfattande nätverk av kvartalet, huset och entrén är ansluten till den. Naturligtvis fungerar routern som en brandvägg som skiljer hemnätverket från resten av Internet. Den implementerar flera skyddsmekanismer, men den vanligaste är adressöversättning, vilket gör att du samtidigt kan dölja nätverkets interna infrastruktur och spara leverantörens riktiga IP-adresser.
Vissa leverantörer utfärdar dock riktiga IP-adresser till sina kunder (till exempel sker detta i nätverket i Mitino-mikrodistriktet, som är anslutet till Moskva-leverantören MTU-Intel). I det här fallet blir användarens dator direkt tillgänglig från Internet, så det är svårare att skydda den. Inte överraskande, bördan att tillhandahålla informationsskydd faller helt på abonnenter, medan operatören finns kvar det enda sättet kontroll över sina handlingar - genom IP- och MAC-adresser. Men moderna Ethernet-adaptrar tillåter dig att programmässigt ändra båda parametrarna på operativsystemnivå, och leverantören är försvarslös mot en skrupellös klient.
För vissa applikationer är det naturligtvis nödvändigt att tilldela riktiga IP-adresser. Att ge en riktig statisk IP-adress till en klient är ganska farligt, för om servern med denna adress framgångsrikt attackeras kommer resten av det interna nätverket att bli tillgängligt via den.
En av kompromisslösningarna på problemet säker användning IP-adresser i hemnätverket är implementeringen av VPN-teknik i kombination med en dynamisk adressallokeringsmekanism. Kortfattat är schemat följande. En krypterad tunnel upprättas från klientdatorn till routern med hjälp av PPTP-protokollet. Eftersom detta protokoll har stöds av Windows sedan version 95, och är nu implementerat för andra operativsystem, klienten behöver inte installera ytterligare programvara - endast konfigurationen av redan installerade komponenter behövs. När en användare ansluter till Internet upprättar han först en anslutning till routern, loggar sedan in, får en IP-adress och kan först därefter börja arbeta på Internet.
Den angivna typen av anslutning motsvarar en vanlig uppringd anslutning, med skillnaden att när den är installerad kan du ställa in nästan vilken hastighet som helst. Även kapslade VPN-undernät fungerar enligt detta schema, som kan användas för att fjärransluta klienter till företagets nätverk. Under varje användarsession tilldelar leverantören dynamiskt antingen en riktig eller en virtuell IP-adress. Förresten, 2COM:s riktiga IP-adress kostar $1 mer per månad än en virtuell.
För att implementera VPN-anslutningar har 2COM utvecklat en egen specialiserad router som utför alla funktioner som anges ovan, plus faktureringstjänster. Det bör noteras att paketkryptering inte är ansvaret för CPU, men på en specialiserad coprocessor, som gör att du samtidigt kan stödja upp till 500 virtuella VPN-kanaler. En sådan kryptorouter i 2COM-nätverket används för att ansluta flera hus samtidigt.
Allmänt på bästa möjliga sätt att skydda hemnätverket är det nära samspelet mellan leverantören och kunden, inom vilket alla har möjlighet att försvara sina intressen. Vid första anblicken verkar säkerhetsmetoder för hemnätverk liknande de som används för att säkerställa företags säkerhet, Men det är det faktiskt inte. I företag är det vanligt att fastställa ganska strikta regler för anställdas beteende, i enlighet med en given informationssäkerhetspolicy. I ett hemnätverk fungerar inte det här alternativet: varje klient behöver sina egna tjänster och komponera generella regler beteende är inte alltid framgångsrikt. Därför är det mycket svårare att bygga ett pålitligt säkerhetssystem för hemnätverk än att säkra ett företagsnätverk.
PNST301-2018/ISO/IEC 24767-1:2008
RYSKA FEDERATIONENS PRELIMINÄRA NATIONELLA STANDARD
Informationsteknologi
SÄKERHET I HEMNÄTVERK
Säkerhetskrav
informationsteknologi. säkerhet i hemnätverket. Del 1 Säkerhetskrav
OKS 35.110, 35.200,35.240.99
Gäller från 2019-02-01
Förord
Förord
1 URBETAD av Federal State Budgetary Educational Institute of Higher Education "Russian University of Economics named after G.V. Plekhanov" (FGBOU VO "PREU named after G.V. Plekhanov") baserat på dess egen översättning till ryska av den engelska versionen av den internationella standarden specificerad i punkt 4
2INTRODUCERAD av den tekniska kommittén för standardisering TC 22 "Informationsteknik"
3GODKÄND OCH TILLÄMPAS genom order från Federal Agency for Technical Regulation and Metrology daterad 4 september 2018 N38-pnst
4Denna standard är identisk med ISO/IEC 24767-1:2008* Internationell standard "Informationsteknik - Hemnätverkssäkerhet - Del 1: Säkerhetskrav" (ISO/IEC 24767-1:2008, "Informationsteknik - Säkerhet för hemnätverk - Del 1 : Säkerhetskrav", IDT)
________________
* Tillgång till internationella och utländska dokument som nämns nedan i texten kan erhållas genom att klicka på länken till webbplatsen. - Databastillverkarens anteckning.
Reglerna för tillämpningen av denna standard och dess övervakning är fastställda i GOST R 1.16-2011 (5 och 6 §§).
Federal Agency for Technical Regulation and Metrology samlar in information om den praktiska tillämpningen av denna standard. Denna information, samt kommentarer och förslag på innehållet i standarden, kan skickas senast den 4 månader före utgången av dess giltighet för utvecklaren av denna standard på adressen: 117997 Moskva, Stremyanny pereulok, 36, Federal State Budgetary Educational Institute of Higher Education "REUuppkallad efter G.V. Plekhanov"och till Federal Agency for Technical Regulation and Metroology på: 109074 Moskva, Kitaygorodsky proezd, 7, byggnad 1.
I händelse av annullering av denna standard kommer den relevanta informationen att publiceras i det månatliga informationsindexet "National Standards" och kommer också att publiceras på den officiella webbplatsen för Federal Agency for Technical Regulation and Metrology på Internet (www.gost.ru)
Introduktion
ISO (International Organization for Standardization) och IEC (International Electrotechnical Commission) utgör ett specialiserat system för världsomspännande standardisering. Nationella organ som är medlemmar i ISO eller IEC deltar i utvecklingen av internationella standarder genom tekniska kommittéer. Alla intresserade organ som är medlemmar i ISO eller IEC kan delta i utvecklingen av en standard inom ett visst område. Andra internationella organisationer, statliga och icke-statliga, som har kontakt med ISO och IEC deltar också i arbetet.
Inom området informationsteknologi har ISO och IEC upprättat en ISO/IEC Joint Technical Committee JTC 1. Utkast till internationella standarder som utarbetats av Joint Technical Committee sänds ut till nationella kommittéer för omröstning. Publicering som en internationell standard kräver godkännande av minst 75 % av de nationella kommittéerna som avger röst.
Formella beslut eller överenskommelser från IEC och ISO i tekniska frågor uttrycker, så långt det är möjligt, en internationell konsensus i relevanta frågor, eftersom varje teknisk kommitté har representanter från alla intresserade nationella medlemsorgan i IEC och ISO.
IEC-, ISO- och ISO/IEC-publikationer är i form av rekommendationer för internationell användning och accepteras av IEC- och ISO-medlemmarnas nationella kommittéer i den meningen. Trots alla ansträngningar som gjorts för att säkerställa noggrannheten tekniskt innehåll IEC, ISO och ISO/IEC publikationer, IEC eller ISO tar inget ansvar för hur de används eller för eventuell misstolkning av slutanvändaren.
För att säkerställa internationell harmonisering (ett enda system) åtar sig IEC och ISOs nationella kommittéer att säkerställa maximal transparens i tillämpningen av IEC, ISO och ISO / IEC International Standards, så långt som nationella och regionala förhållanden i ett givet land tillåter. Alla avvikelser mellan ISO/IEC-publikationer och motsvarande nationella eller regionala standarder bör tydligt anges i de senare.
ISO och IEC har inga märkningsprocedurer och ansvarar inte för någon utrustning som påstås överensstämma med någon av ISO/IEC-standarderna.
Alla användare bör se till att de använder den senaste utgåvan av denna publikation.
IEC eller ISO, deras ledning, anställda, anställda eller representanter, inklusive enskilda experter och medlemmar av deras tekniska kommittéer, och medlemmar av IEC eller ISOs nationella kommittéer, ska inte hållas ansvariga för olyckor, skador på egendom eller andra skador, vare sig direkta eller indirekta, eller för kostnader (inklusive juridiska kostnader) som uppstår i samband med publicering eller användning av denna ISO/IEC-publikation eller annan IEC-, ISO- eller ISO/IEC-publikation.
Den normativa dokumentationen som citeras i denna publikation kräver särskild uppmärksamhet. Användningen av refererade dokument är nödvändig för korrekt tillämpning av denna publikation.
Uppmärksamhet uppmärksammas på att vissa delar av denna internationella standard kan vara föremål för patenträttigheter. ISO och IEC ska inte hållas ansvariga för att fastställa någon eller alla sådana patenträttigheter.
Internationell standard ISO/IEC 24767-1 har utvecklats av underkommitté 25, sammankoppling av informationsteknikutrustning, av ISO/IEC Joint Technical Committee 1, Informationsteknologi.
En lista över alla för närvarande tillgängliga delar av ISO/IEC 24767-serien under den allmänna titeln "Informationsteknik - Hemnätverkssäkerhet" finns tillgänglig på IEC:s webbplats.
1 användningsområde
Denna internationella standard definierar krav för att skydda ett hemnätverk från interna eller externa hot. Standarden ligger till grund för utvecklingen av säkerhetssystem som skyddar den interna miljön från olika hot.
Säkerhetskrav behandlas i denna internationella standard på ett relativt informellt sätt. Även om många av de ämnen som diskuteras i denna internationella standard fungerar som vägledning för att utveckla säkerhetssystem för både intranät och Internet, har de karaktären av informella krav.
Ansluten till det interna (hem)nätverket olika enheter(se bild 1). Nätverksenheter för hushållsapparater, enheter för ljud/videounderhållning och enheter med informationsapplikationer har olika funktioner och prestanda. Denna internationella standard tillhandahåller ett sätt att analysera riskerna för varje enhet som är ansluten till nätverket och fastställa säkerhetskraven för varje enhet.
2Termer, definitioner och förkortningar
2.1 Termer och definitioner
Följande termer och definitioner gäller i denna standard:
2.1.1 hemelektronik(brunvaror): Ljud-/videoenheter som främst används för underhållningsändamål, såsom en TV eller DVD-inspelare.
2.1.2sekretess(sekretess): En egenskap som säkerställer att information inte är tillgänglig eller avslöjas för obehöriga personer, organisationer eller processer.
2.1.3 dataautentisering(dataautentisering): En tjänst som används för att säkerställa att en påstådd datakälla är korrekt verifierad.
2.1.4 dataintegritet(dataintegritet): En egenskap som bekräftar att data inte har ändrats eller förstörts på ett otillåtet sätt.
2.1.5 användarautentisering(användarautentisering): En tjänst för att säkerställa att identitetsinformationen som presenteras av en kommunikationsdeltagare är korrekt verifierad, medan behörighetstjänsten säkerställer att den identifierade och auktoriserade användaren har tillgång till specifik enhet eller hemnätverksapplikation.
2.1.6 Vitvaror(vitvaror): Enheter som används i vardagen, såsom luftkonditionering, kylskåp, etc.
2.2 Förkortningar
Följande förkortningar används i denna standard:
3 Efterlevnad
Denna internationella standard innehåller vägledning utan krav på överensstämmelse.
4Säkerhetskrav för interna hemelektroniksystem och nätverk
4.1 Allmänna bestämmelser
Med den snabba utvecklingen av Internet och relaterade nätverkstekniker har det blivit möjligt att etablera kommunikation mellan datorer i kontor och hem med omvärlden, vilket ger tillgång till många resurser. Idag har teknologin som låg till grund för denna framgång nått våra hem och ger möjligheten att ansluta apparater på samma sätt som personliga datorer. Således tillåter de inte bara användare att övervaka och styra sina hushållsapparater både inifrån och utanför hemmet, utan skapar också nya tjänster och möjligheter, såsom fjärrstyrning och underhåll av hushållsapparater. Detta innebär att den normala datormiljön hemma kommer att omvandlas till ett internt hemnätverk, som kopplar ihop många enheter som också kommer att behöva säkras.
Boende, användare och ägare av både hemmet och systemet måste lita på hemelektroniken. Målet med hemelektroniksäkerhet tillhandahållande av system förtroende för systemet. Eftersom många komponenter i hemmet elektroniskt systemär i drift kontinuerligt, 24 timmar om dygnet, och automatiskt utbyter information med omvärlden, är informationssäkerhet nödvändig för att säkerställa konfidentialitet, integritet och tillgänglighet för data och systemet.En korrekt implementerad säkerhetslösning innebär till exempel att tillgång till systemet och lagrad, inkommande och utgående data endast auktoriserade användare och processer tar emot, samt att endast auktoriserade användare kan använda systemet och göra ändringar i det.
Säkerhetskraven för ett HES-nät kan beskrivas på flera sätt. Denna standard är begränsad till IT-säkerheten i HES-nätverket. IT-säkerheten måste dock gå utöver själva systemet eftersom hemmet ska fungera, om än med begränsade möjligheter, vid ett IT-systemfel.Den intelligens som normalt stöds av HES-nätet kan även utföras när systemet länkar samman. är sönder. I sådana fall kan man förstå att det finns säkerhetskrav som inte kan vara en del av själva systemet, men systemet bör inte förbjuda implementering av backuplösningar.
Det finns ett antal personer som är intresserade av säkerhetsfrågor. Ett hemelektroniksystem måste lita på inte bara av boende och ägare, utan även av tjänste- och innehållsleverantörer. De senare måste se till att de tjänster och innehåll de erbjuder endast används på det sätt som är tillåtet. En av grunderna för systemsäkerhet är dock att en specifik säkerhetstjänstadministratör bör ansvara för det. Det är uppenbart att ett sådant ansvar bör läggas på invånarna (systemets ägare). Det spelar ingen roll om administratören gör det personligen eller lägger ut det på entreprenad. Säkerhetsadministratören är i alla fall ansvarig. Frågan om tjänste- och innehållsleverantörers förtroende för det elektroniska hemsystemet och deras förtroende för att användarna använder deras tjänster och innehåll på rätt sätt avgörs av avtalsförpliktelser mellan parterna. Kontraktet kan till exempel lista de funktioner, komponenter eller processer som det elektroniska hemsystemet måste stödja.
Arkitekturen för ett hemelektroniksystem är olika för olika typer av hem. För alla modeller kan det finnas en specifik uppsättning säkerhetskrav. Nedan följer en beskrivning av tre olika modeller av hemelektroniksystem med olika uppsättningar av säkerhetskrav.
Uppenbarligen är vissa säkerhetskrav viktigare än andra. Det är således klart att stöd för vissa motåtgärder kommer att vara frivilligt. Dessutom kan motåtgärder variera i kvalitet och kostnad. Det kan också krävas olika färdigheter för att hantera och upprätthålla sådana motåtgärder. Denna internationella standard försöker klargöra logiken bakom de listade säkerhetskraven och gör det möjligt för designers av ett hemelektroniksystem att avgöra vilka säkerhetsfunktioner ett visst system ska stödja. hemsystem och med tanke på kvalitetskraven och lednings- och underhållsinsatser, vilken mekanism som bör väljas för sådana funktioner.
Säkerhetskraven för ett internt nätverk beror på definitionen av säkerhet och "hem", samt vad som menas med "nätverk" i det hemmet. Om ett nätverk helt enkelt är en kanal som ansluter en enda dator till en skrivare eller kabelmodem, räcker det för att säkra ett hemnätverk att säkra denna kanal och utrustningen den ansluter.
Men om det finns dussintals, om inte hundratals, nätverksanslutna enheter i en domän, där en del tillhör hela hushållet och en del tillhör personer i hemmet, kommer mer sofistikerade säkerhetsåtgärder att behöva vidtas.
4.2Säkerhet för hemelektroniksystemet
4.2.1 Fastställande av hemelektroniksystem och systemsäkerhet
Ett hemelektroniksystem och nätverk kan definieras som en uppsättning element som bearbetar, överför, lagrar och hanterar information för att möjliggöra kommunikation och integration av de många dator-, kontroll- och kommunikationsenheter som finns i ett hem.
Dessutom tillhandahåller hemelektronik och nätverk en sammankoppling mellan underhållnings- och informationsenheter, såväl som kommunikations- och säkerhetsanordningar och hushållsapparater tillgängliga i hemmet. Sådana enheter och enheter kommer att utbyta information, de kan styras och styras när de är i huset eller på distans. Följaktligen kommer alla inomhushemnätverk att behöva vissa säkerhetsmekanismer för att skydda sin dagliga verksamhet.
Nätverks- och informationssäkerhet kan förstås som förmågan hos ett nätverk eller informationssystem att motstå slumpmässiga händelser eller skadliga handlingar på en viss nivå. Sådana händelser eller aktiviteter kan äventyra tillgängligheten, äktheten, äktheten och konfidentialiteten för lagrad eller överförd data, såväl som tillhörande tjänster som erbjuds via sådana nätverk och system.
Informationssäkerhetsincidenter kan grupperas i följande grupper:
E-posten kan fångas upp, uppgifterna kan kopieras eller ändras. Detta kan orsaka skada som orsakas både av kränkning av individens rätt till integritet och genom att missbruka avlyssnade data;
Otillåten åtkomst till en dator och interna datornätverk utförs vanligtvis med uppsåt att kopiera, ändra eller förstöra data och kan sträcka sig till automatisk utrustning och system som finns i hemmet;
Skadliga attacker på Internet har blivit vanliga och telefonnätet kan också bli mer sårbart i framtiden;
Skadlig programvara, som virus, kan inaktivera datorer, radera eller ändra data eller programmera om hushållsapparater. Vissa virusattacker har varit ganska destruktiva och kostsamma;
Felaktig framställning av information om enskilda eller juridiska personer kan orsaka betydande skada, som att kunder laddar ner skadlig programvara från en webbplats som maskerar sig som en pålitlig källa, kontrakt kan sägas upp och konfidentiell information kan skickas till fel mottagare;
Många informationssäkerhetsincidenter involverar oförutsedda och oavsiktliga händelser, såsom naturkatastrofer (översvämningar, stormar och jordbävningar), hårdvara eller programvara såväl som den mänskliga faktorn.
Idag har nästan varje lägenhet ett hemnätverk som ansluter stationära datorer, bärbara datorer, datalagring (NAS), mediaspelare, smarta TV-apparater, samt smartphones, surfplattor och andra bärbara enheter. Antingen trådbundna (Ethernet) eller trådlösa (Wi-Fi) anslutningar och TCP/IP-protokoll används. Med utvecklingen av Internet of Things-tekniken har hushållsapparater - kylskåp, kaffebryggare, luftkonditionering och till och med elektrisk installationsutrustning - kommit in på webben. Tack vare lösningarna Smart hus» vi kan styra ljusstyrkan på belysningen, fjärrjustera mikroklimatet i lokalerna, slå på och stänga av olika enheter - detta gör livet mycket lättare, men kan skapa allvarliga problem för ägaren av avancerade lösningar.
Tyvärr bryr sig utvecklarna av sådana enheter ännu inte tillräckligt om säkerheten för sina produkter, och antalet sårbarheter som finns i dem växer som svampar efter regn. Det är inte ovanligt att en enhet slutar stödjas efter att ha kommit in på marknaden - till exempel har vår TV en 2016 firmware baserad på Android 4, och tillverkaren kommer inte att uppdatera den. Gäster lägger också till problem: det är obekvämt att neka dem tillgång till Wi-Fi, men jag skulle inte heller vilja släppa in någon i mitt mysiga nätverk. Vem vet vilka virus som kan bosätta sig hos främlingar mobiltelefoner? Allt detta leder oss till behovet av att dela upp hemnätverket i flera isolerade segment. Låt oss försöka ta reda på hur man gör det, som de säger, med lite blodsutgjutelse och med minsta ekonomiska kostnader.
Isolera Wi-Fi-nätverk
I företagsnätverk problemet är enkelt löst - det finns hanterade switchar med stöd för virtuella lokala nätverk (VLAN), en mängd olika routrar, brandväggar och trådlösa åtkomstpunkter - du kan bygga det nödvändiga antalet isolerade segment på ett par timmar. Med hjälp av exempelvis Traffic Inspector Next Generation (TING)-enheten löses uppgiften med bara några klick. Det räcker att ansluta switchen för gästnätverkssegmentet till en separat Ethernet-port och skapa brandväggsregler. För ett hem är det här alternativet inte lämpligt på grund av den höga kostnaden för utrustning - oftast styrs vårt nätverk av en enhet som kombinerar funktionerna hos en router, switch, trådlös åtkomstpunkt och Gud vet vad mer.
Lyckligtvis har även moderna hushållsroutrar (även om det vore mer korrekt att kalla dem för routrar) också blivit väldigt smarta, och nästan alla, utom kanske mycket billiga, har förmågan att skapa ett isolerat gäst-Wi-Fi-nätverk. Tillförlitligheten för just denna isolering är en fråga för en separat artikel, idag kommer vi inte att undersöka firmware för hushållsenheter från olika tillverkare. Som ett exempel, låt oss ta ZyXEL Keenetic Extra II. Nu har denna linje helt enkelt blivit kallad Keenetic, men en enhet som släpptes under varumärket ZyXEL föll i våra händer.
Att konfigurera via webbgränssnittet kommer inte att orsaka svårigheter även för nybörjare - några klick, och vi har ett separat trådlöst nätverk med eget SSID, WPA2-skydd och ett åtkomstlösenord. Du kan släppa in gäster i det, samt sätta på tv-apparater och spelare med firmware som inte har uppdaterats på länge eller andra klienter som du inte litar särskilt på. I de flesta enheter från andra tillverkare finns även denna funktion, upprepar vi, och är aktiverad på samma sätt. Så här löser man till exempel problemet i firmware D-Link routrar med hjälp av installationsguiden.
Du kan lägga till ett gästnätverk när enheten redan är konfigurerad och fungerar.
Skärmdump från tillverkarens hemsida
Skärmdump från tillverkarens hemsida
Isolera Ethernet-nätverk
Förutom att klienter ansluter till det trådlösa nätverket kan vi stöta på enheter med trådbundet gränssnitt. Experter kommer att säga att så kallade VLAN används för att skapa isolerade Ethernet-segment - virtuella lokala nätverk. Vissa hemroutrar stöder denna funktionalitet, men här blir uppgiften mer komplicerad. Jag vill inte bara göra ett separat segment, vi måste kombinera portar för en trådbunden anslutning med ett trådlöst gästnätverk på en router. Detta är långt ifrån svårt för någon hushållsenhet: en ytlig analys visar att förutom Keenetic Internet-center, lägger till Ethernet-portar i ett med Wi-Fi-nätverk gästsegmentet är också kapabelt till modeller från MikroTik-linjen, men processen att ställa in dem är inte längre så självklar. Om vi pratar om hushållsroutrar till jämförbart pris är det bara Keenetic som kan lösa problemet med ett par klick i webbgränssnittet.
Som du kan se klarade testpersonen lätt problemet, och här är det värt att uppmärksamma en annan intressant funktion - du kan också isolera gästnätverkets trådlösa klienter från varandra. Detta är mycket användbart: din väns smartphone som är infekterad med skadlig programvara kommer att gå online, men han kommer inte att kunna attackera andra enheter ens i gästnätverket. Om din router har en liknande funktion bör du definitivt aktivera den, även om detta kommer att begränsa möjligheten till klientinteraktion - det kommer till exempel inte längre att vara möjligt att bli vän med en TV med en mediaspelare via Wi-Fi, du kommer att måste använda en trådbunden anslutning. I det här skedet ser vårt hemnätverk säkrare ut.
Vad är resultatet?
Antalet säkerhetshot växer år för år, och tillverkare smarta enheter långt ifrån alltid uppmärksamma att uppdateringar släpps i tid. I en sådan situation har vi bara en utväg - att differentiera hemnätverksklienter och skapa isolerade segment för dem. För att göra detta behöver du inte köpa utrustning för tiotusentals rubel, ett relativt billigt hushållsinternetcenter kan enkelt klara uppgiften. Här vill jag varna läsarna för att köpa enheter av budgetmärkt. Nästan alla tillverkare har nu mer eller mindre samma hårdvara, men kvaliteten på den inbyggda mjukvaran är väldigt olika. Samt varaktigheten av supportcykeln för släppta modeller. Även med en ganska enkel uppgift att kombinera ett trådbundet och trådlöst nätverk i ett isolerat segment, kan inte varje hushållsrouter hantera det, och du kan ha mer komplexa sådana. Ibland behöver du konfigurera ytterligare segment eller DNS-filtrering för att bara komma åt säkra värdar, i stora rum måste du ansluta Wi-Fi-klienter till gästnätverket via externa åtkomstpunkter, etc. och så vidare. Förutom säkerhetsfrågor finns det andra problem: i offentliga nätverk är det nödvändigt att säkerställa registrering av kunder i enlighet med kraven i federal lag nr. informationsteknologi och om skydd av information. Billiga enheter kan lösa sådana problem, men inte alla - funktionalitet Den inbyggda programvaran de har, upprepar vi, är väldigt olika.
