Раньше многие могли как-то контролировать наличие у себя в сети одного-двух устройств, то сейчас устройств у пользователей становится всё больше. Это затрудняет осуществление надёжного контроля.
Развитие техники и телекоммуникаций приводит к быстрому росту в домах пользователей всевозможных устройств, которые умеют работать с Интернетом. Пользователи охотно приобретают устройства, которые взаимодействуют с Интернетом для прослушивания Интернет-радио, скачивания музыки, фильмов, программ, электронных книг и для других действий. И если раньше многие могли как-то контролировать наличие у себя в сети одного-двух устройств, то сейчас устройств у пользователей становится всё больше. Это затрудняет осуществление надёжного контроля. Особенно, когда семья состоит из нескольких пользователей, которые умудряются подключать девайсы к сети, не согласуя друг с другом. Отсутствие знаний в области грамотной настройки домашней сети приводит к тому, что за пользователями могут подсматривать из интернета помимо их воли (http://habrahabr.ru/post/189674/). Либо, наоборот: пользователи теряют возможность удалённо следить через интернет происходящее в поле зрения их IP-камер из-за Робин Гудов .
Данной статьёй, в идеале, хотелось бы повысить грамотность населения в озвученной сфере. По крайней мере, надеюсь, что мой опыт сэкономит время и силы тем, кто давно подумывал разобраться с цифровой анархией в своей домашней сети. А, может быть, будет полезен тем, кто задумался о том, как грамотно организовать свой домашний кинотеатр.
Изначально я столкнулся с ситуацией, что список техники у меня дома, испытывающей потребность в Интернете достиг:
- 2 ПЭВМ (моя и родителей)
- мобильный телефон
- утварь для домашнего кинотеатра (NAS-сервер Synology, медиа-проигрыватель Dune)
- планшет
Но, в итоге, я смог убить двух зайцев. Остановился я на латвийском роутере Mikrotik 751G-2HnD. Он не нанёс моему кошельку сильного ущерба (ровно как и моей радости от приобретённого девайса). И смог покрыть все мои потребности. Забегая вперёд, скажу, что опыт общения с этой железкой у меня был настолько хорошим, что я и в офис прикупил его старшего брата Mikrotik 951G-2HnD
Общая схема подключения всех устройств показана на рис №1.
Рис №1 Общая схема подключения устройств в моей домашней сети
Снабжу картинку некоторыми пояснениями. TV сам по себе с интернетом не общается. Просто потому, что он не имеет Ethernet-кабеля (был куплен чёрте когда). Он соединяется HDMI-кабелем с медиа-проигрывателем (Dune HD Smart D1). А вот уже Dune может транслировать видео на TV. Несмотря на некоторые возможности Dune по хранению данных и поддержке съёмных носителей (а также наличие встроенного торрент-клиента). Он используется только как медиа-проигрыватель. А уже Synology DS212j используется как хранилище музыки, фильмов. Также имеет плагин для работы с Torrent-сетями. На этом устройстве настроена расшаренная папка, откуда Dune получает медиа-файлы к показу. Dune и Synology объединяются посредством подключения к обычному коммутатору (на картинке помечен как Switch). Мне не требовалось каких-то особенностей от коммутатора, так что купил первый попавшийся 4-х портовый коммутатор.
Коммутатор и обе ПЭВМ подключены в разные порты Mikrotik. Надо сказать, что мои родители серьёзно попработали в своё время вопрос наличия Интернета в разных частях квартиры ещё на этапе ремонта. Поэтому Ethernet-кабели проложены практически в каждую комнату в стенах. Так что физически оборудование рассредоточено по разным комнатам. А Ethernet-кабель не виднеется на полу, потолке или на стенах (что часто можно встретить в других квартирах). Хотя, в некоторых уголках всё-же не хватает проводки кабеля. Поэтому советую будущим молодым семьям с особой тщательностью продумывать этот вопрос. Ведь Wi-Fi не всегда является хорошим решением. Но в целом всё красиво подключено.
Итак, структура сети ясна, начнём с настройки Mikrotik
Первые шаги — дружим Mikrotik с интернетом.
Настройка Mikrotik с RouterOS v6.x не имеет никаких проблем. Через WebFig во вкладке Quick Set (рис №2) выставляете IP-адрес, выданный провайдером (в зависимости от Ваших условий прописываете статически, либо ставите DHCP для автоматического получения). При необходимости - можно менять MAC-адрес WAN-порта (если провайдер привязывает выдачу IP к MAC-адресу одного из Ваших устройств, например, предыдущего роутера). Ставите галочки, как на рис №2
Рис №2 первые шаги настройки
Для случая с RouterOS версии < 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.
Настройка сети - теория
На рис №3 - итоговая картинка, к которой я привёл сеть.
Рис №3 Итоговая настройка сети
Сначала расскажу что же я настроил, а потом перейдём непосредственно к настройке. На Mikrotik настроен port knocking, позволяющий безопасно открывать на определённое время доступ из Интернет к управлению NAS Synology через браузер. Вдруг чего захочется на скачку поставить, чтоб уже успело скачаться к возвращению домой.
Коммутатор подключён к порту 3 роутера. Поэтому, для удобства запоминания, всей сети на этом порту выдаются адреса из подсетки 192.168.3.х
IP-адрес Mikrotik для управления через веб-интерфейс 192.168.5.1.
ПЭВМ №1 (192.168.5.100) подключён к порту 5 роутера. Ему разрешено обращаться к Интернету, ко всем устройствам в сети и к Mikrotik - для его настройки.
ПЭВМ №2 (192.168.4.100) подключён к порту 4 роутера. Ему разрешено обращаться к Интернету, ко всем устройствам в сети, кроме Mikrotik (царь должен быть один).
NAS Synology, Dune - разрешено обращаться к сети 192.168.3.х и Интернету. Всё остальное запрещено.
Мобильные устройства получают адрес из сети 192.168.88.х и могут общаться с интернетом и другими мобильными устройствами. Общения с другими подсетями запрещены. Беспроводная сеть шифруется WPA2.
Вообще, Mikrotik поддерживает Radius для авторизации устройств в сети. В качестве сервера Radius может быть тот же Synology. Но я так уже не стал настраивать. Все неизвестные роутеру устройства не смогут общаться с Интернетом. Это поможет избегать ситуаций подобной следящими за пользователями телевизорами .
Крайне желательно, чтобы ПЭВМ, который управляет Mikrotik (в моём случае это ПЭВМ №1), подключался к Mikrotik напрямую, без коммутаторов. Это полезно для предотвращения перехвата параметров доступа администратора (используя атаку типа «человек посередине», пользуясь особенностями протокола ARP) при работе с Mikrotik через web-интерфейс. Ведь по-умолчанию web-интерфейс у Mikrotik идёт через открытый для анализа HTTP. Возможность перевести на HTTPS у Mikrotik присутствует. Однако, это выходит за рамки данной статьи, т. к. являет собой отдельную нетривиальную задачу (для начинающих администраторов Mikrotik).
Теперь, когда мы разобрались с тем, чего хотим добиться, самое время переходить к практической части.
Настройка сети - практика
Подключаемся к Mikrotik через web-интерфейс. В разделе IP->Pool зададим диапазон выдачи IP-адресов для сети 192.168.3.x (рис №4)
В разделе IP->DHCP Server во вкладке DHCP нажмём кнопку Add New и привяжем к физическому порту №3 Ethernet (ether3-slave-local ) созданный ранее пул выдачи адресов (pool3 ) (рис №5)
В разделе IP->Routes пропишем маршрут для новой сети (рис №7):
В разделе Interfaces выберем ether3-slave-local и сменим значение параметра Master Port на none (рис №8)
В разделе IP->Addresses создадим шлюз 192.168.3.1 для сети 192.168.3.0/24 для порта ether3-slave-local (рис №9)
Таким же образом настраиваются все остальные подсети на остальных физических портах Mikrotik.
Подсеть создана. Теперь устройства, подключенные к порту №3 Ethernet, могут работать с Интернетом и другими подсетями домашней сети. Самое время разрешить что нам нужно и запретить всё, что не разрешено в разделе IP->Firewall на вкладке Filter Rules .
Используя кнопку Add New создаём следующие правила:
Создаём правила, позволяющие обращаться к Mikrotik с ПЭВМ №1 (192.168.5.1 ), остальным запрещаем
Chain= input Src.address =192.168.5.100 Dst.address = 192.168.5.1 Action= accept
Chain= input Action= drop
Устройству NAS Synology позволяем «общаться» только с Интернетом, локальную сеть (192.168.0.0/16) исключаем:
Chain= forward Src.address =192.168.3.201 Dst.address = !192.168.0.0/16 Action= accept
Аналогичные настройки для медиа-плеера Dune:
Chain= forward Src.address =192.168.3.200 Dst.address = !192.168.0.0/16 Action= accept
Обоим ПЭВМ разрешаем «общаться» с Интернетом и всеми подсетями домашней сети:
Chain= forward Src.address =192.168.5.100 Dst.address = 0.0.0.0/0 Action= drop
Chain= forward Src.address =192.168.4.100 Dst.address = 0.0.0.0/0 Action= drop
Устройствам из сети 192.168.3.х (где NAS Synology и Dune) позволяем устанавливать соединения, инициаторами которых является ПЭВМ №1
Chain= forward Src.address =192.168.3.0/24 Dst.address = 192.168.5.100 Connection State = established, Action= accept
Всем остальным запрещаем исходящий трафик в Интернет и в подсети нашей сети:
Chain= forward Src.address =192.168.0.0/16 Dst.address =0.0.0.0/0 Action= drop
Для реализации port knocking выполним следующие правила:
chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_128_stage1 address-list=white_list_NAS address-list-timeout=1h in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage2 address-list=ICMP_SSH_128_stage1 address-list-timeout=1m in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage1 address-list=ICMP_SSH_98_stage2 address-list-timeout=1m in-inter packet-size=98
Chain=input action=add-src-to-address-list protocol=icmp address-list=ICMP_SSH_98_stage1 address-list-timeout=1m in-inter packet-size=98
Кому интересно почему именно так прописывается могут прочитать (http://habrahabr.ru/post/186488/)
Теперь «по стуку» у нас удалённый компьютер внесётся на 1 час в список разрешённых (white_list_NAS ). Но это ещё не всё. Чтоб он смог получить доступ к web-интерфейсу Synology нужно настроить port forwarding для этого списка (white_list_NAS )
Это делается в разделе IP->Firewall во вкладке NAT . Создадим правило:
chain=dstnat protocol=tcp Dst.port=5000 Src address list=white_list_NAS action=dst-nat to addresses=192.168.3.201 to ports=5000
Теперь сделав ping определённым образом мы получим доступ к нашему NAS (рис №10)
На этом настройка закончена. Если всё правильно, то в итоге у нас в разделе IP->Firewall на вкладке Filter Rules получится картинка как на рис №11
Проверка конфигурации
Подключимся по SSH к NAS-серверу (192.168.3.201) и выполним трассировку до ПЭВМ №1 (192.168.5.100) и Dune (192.168.3.200) - рис №12
Рис №12 результаты c NAS
Видим, что при трассировке до ПЭВМ №1 пакеты идут через 192.168.3.1 и не достигают цели. А к Dune пакеты идут напрямую. При этом пинги в интернет идут нормально (в данном случае, на адрес 8.8.8.8).
А с ПЭВМ №1 (192.168.5.100) до NAS (192.168.3.201) трассировка проходит успешно (рис №13).
Рис №13 трассировка с ПЭВМ №1
А на рис №14 показано что происходит на ПЭВМ, который подключили к сети и не внесли после этого относительно него никаких правил в firewall Mikrotik. В итоге эта ПЭВМ не может взаимодействовать ни с Интернетом, ни с другими устройствами в других подсетях локальной сети.
Рис №14 результаты с нового ПЭВМ, подключенного к сети
Выводы
Нам удалось настроить нашу домашнюю сеть, сочетая удобство работы с устройствами в сети и не жертвуя при этом безопасностью. Решены следующие задачи:
- Настройка Mikrotik возможна по веб-интерфейсу только с ПЭВМ №1
- NAS Synilogy и Dune могут получать данные из Интернета, но не могут получать доступа к устройствам в других подсетях. Поэтому, даже если в их прошивках есть бекдоры для разработчиков, АНБ или кого-то ещё, всё что они смогут узнать - только друг о друге (о NAS Synilogy или Dune)
- Реализован безопасный удалённый доступ из любой точки интернета для установки дома на закачку для NAS Synilogy необходимого софта
- Несанкционировано подключенные к сети устройства имеют доступ только в рамках подсети, куда они подключены, и не могут передавать данные в Интернет.
C распространением широкополосного доступа в интернет и карманных гаджетов стали чрезвычайно популярны беспроводные роутеры (маршрутизаторы). Такие устройства способны раздавать сигнал по протоколу Wi-Fi как на стационарные компьютеры, так и на мобильные устройства – смартфоны и планшеты, – при этом пропускной способности канала вполне достаточно для одновременного подключения нескольких потребителей.
Сегодня беспроводной роутер есть практически в любом доме, куда проведён широкополосный интернет. Однако далеко не все владельцы таких устройств задумываются над тем, что при настройках по умолчанию они чрезвычайно уязвимы для злоумышленников. И если вы считаете, что не делаете в интернете ничего такого, что могло бы вам повредить, задумайтесь над тем, что перехватив сигнал локальной беспроводной сети, взломщики могут получить доступ не только к вашей личной переписке, но и к банковскому счёту, служебным документам и любым другим файлам.
Хакеры могут не ограничиться исследованием памяти исключительно ваших собственных устройств – их содержимое может подсказать ключи к сетям вашей компании, ваших близких и знакомых, к данным всевозможных коммерческих и государственных информационных систем. Более того, через вашу сеть и от вашего имени злоумышленники могут проводить массовые атаки, взломы, незаконно распространять медиафайлы и программное обеспечение и заниматься прочей уголовно наказуемой деятельностью.
Между тем, чтобы обезопасить себя от подобных угроз, стоит следовать лишь нескольким простым правилам, которые понятны и доступны даже тем, кто не имеет специальных знаний в области компьютерных сетей. Предлагаем вам ознакомиться с этими правилами.
1. Измените данные администратора по умолчанию
Чтобы получить доступ к настройкам вашего роутера, необходимо зайти в его веб-интерфейс. Для этого вам нужно знать его IP-адрес в локальной сети (LAN), а также логин и пароль администратора.
Внутренний IP-адрес роутера по умолчанию, как правило, имеет вид 192.168.0.1, 192.168.1.1, 192.168.100.1 или, например, 192.168.123.254 – он всегда указан в документации к аппаратуре. Дефолтные логин и пароль обычно также сообщаются в документации, либо их можно узнать у производителя роутера или вашего провайдера услуг.
Вводим IP-адрес роутера в адресную строку браузера, а в появившимся окне вводим логин и пароль. Перед нами откроется веб-интерфейс маршрутизатора с самыми разнообразными настройками.
Ключевой элемент безопасности домашней сети – возможность изменения настроек, поэтому нужно обязательно изменить все данные администратора по умолчанию, ведь они могут использоваться в десятках тысяч экземпляров таких же роутеров, как и у вас. Находим соответствующий пункт и вводим новые данные.
В некоторых случаях возможность произвольного изменения данных администратора заблокирована провайдером услуг, и тогда вам придётся обращаться за помощью к нему.
2. Установите или измените пароли для доступа к локальной сети
Вы будете смеяться, но всё ещё встречаются случаи, когда щедрый обладатель беспроводного роутера организует открытую точку доступа, к которой может подключиться каждый. Гораздо чаще для домашней сети выбираются псевдопароли типа «1234» или какие-то банальные слова, заданные при установке сети. Чтобы минимизировать вероятность того, что кто-то сможет с лёгкостью забраться в вашу сеть, нужно придумать настоящий длинный пароль из букв, цифр и символов, и установить уровень шифрования сигнала – желательно, WPA2.
3. Отключите WPS
Технология WPS (Wi-Fi Protected Setup) позволяет быстро наладить защищённую беспроводную связь между совместимыми устройствами без подробных настроек, а лишь нажатием соответствующих кнопок на роутере и гаджете или путём ввода цифрового кода.
Между тем, у этой удобной системы, обычно включённой по умолчанию, есть одно слабое место: поскольку WPS не учитывает число попыток ввода неправильного кода, она может быть взломана «грубой силой» путём простого перебора с помощью простейших утилит. Потребуется от нескольких минут до нескольких часов, чтобы проникнуть в вашу сеть через код WPS, после чего не составит особого труда вычислить и сетевой пароль.
Поэтому находим в «админке» соответствующий пункт и отключаем WPS. К сожалению, внесение изменений в настройки далеко не всегда действительно отключит WPS, а некоторые производители вообще не предусматривают такой возможности.
4. Измените наименование SSID
Идентификатор SSID (Service Set Identifier) – это название вашей беспроводной сети. Именно его «вспоминают» различные устройства, которые при распознавании названия и наличии необходимых паролей пытаются подключиться к локальной сети. Поэтому если вы сохраните стандартное название, установленное, например, вашим провайдером, то есть вероятность того, что ваши устройства будут пытаться подключиться ко множеству ближайших сетей с тем же самым названием.
Более того, роутер, транслирующий стандартный SSID, более уязвим для хакеров, которые будут примерно знать его модель и обычные настройки, и смогут нанести удар в конкретные слабые места такой конфигурации. Потому выберите как можно более уникальное название, ничего не говорящее ни о провайдере услуг, ни о производителе оборудования.
При этом часто встречающийся совет скрывать трансляцию SSID, а такая опция стандартна для подавляющего большинства роутеров, на самом деле несостоятелен. Дело в том, что все устройства, пытающиеся подключиться к вашей сети, в любом случае будут перебирать ближайшие точки доступа, и могут подключиться к сетям, специально «расставленным» злоумышленниками. Иными словами, скрывая SSID, вы усложняете жизнь только самим себе.
5. Измените IP роутера
Чтобы ещё более затруднить несанкционированный доступ к веб-интерфейсу роутера и его настройкам, измените в них внутренний IP-адрес (LAN) по умолчанию.
6. Отключите удалённое администрирование
Для удобства технической поддержки (в основном) во многих бытовых роутерах реализована функция удалённого администрирования, при помощи которой настройки роутера становятся доступны через интернет. Поэтому, если мы не хотим проникновения извне, эту функцию лучше отключить.
При этом, однако, остаётся возможность зайти в веб-интерфейс через Wi-Fi, если злоумышленник находится в поле действия вашей сети и знает логин и пароль. В некоторых роутерах есть функция ограничить доступ к панели только при наличии проводного подключения, однако, к сожалению, эта опция встречается довольно редко.
7. Обновите микропрограмму
Каждый уважающий себя и клиентов производитель роутеров постоянно совершенствует программное обеспечение своего оборудования и регулярно выпускает обновлённые версии микропрограмм («прошивок»). В свежих версиях прежде всего исправляются обнаруженные уязвимости, а также ошибки, влияющие на стабильность работы.
Обратите внимание на то, что после обновления все сделанные вами настройки могут сброситься до заводских, поэтому есть смысл сделать их резервную копию – также через веб-интерфейс.
8. Перейдите в диапазон 5 ГГц
Базовый диапазон работы сетей Wi-Fi – это 2,4 ГГц. Он обеспечивает уверенный приём большинством существующих устройств на расстоянии примерно до 60 м в помещении и до 400 м вне помещения. Переход в диапазон 5 ГГц снизит дальность связи в два-три раза, ограничив для посторонних возможность проникнуть в вашу беспроводную сеть. За счёт меньшей занятости диапазона, вы сможете также заметить повысившуюся скорость передачи данных и стабильность соединения.
Минус у этого решения только один – далеко не все устройства работают c Wi-Fi стандарта IEEE 802.11ac в диапазоне 5 ГГц.
9. Отключите функции PING, Telnet, SSH, UPnP и HNAP
Если вы не знаете, что скрывается за этими аббревиатурами, и не уверены, что эти функции вам обязательно потребуются, найдите их в настройках роутера и отключите. Если есть такая возможность, вместо закрытия портов, выберите скрытый режим (stealth), который при попытках зайти на них извне сделает эти порты «невидимыми», игнорируя запросы и «пинги».
10. Включите брандмауэр роутера
Если в вашем роутере есть встроенный брандмауэр, то рекомендуем его включить. Конечно, это не бастион абсолютной защиты, но в комплексе с программными средствами (даже со встроенным в Windows брандмауэром) он способен вполне достойно сопротивляться атакам.
11. Отключите фильтрацию по MAC-адресам
Хотя на первый взгляд кажется, что возможность подключения к сети только устройств с конкретными MAC-адресами полностью гарантирует безопасность, в действительности это не так. Более того, оно делает сеть открытой даже для не слишком изобретательных хакеров. Если злоумышленник сможет отследить входящие пакеты, то он быстро получит список активных MAC-адресов, поскольку в потоке данных они передаются в незашифрованном виде. А подменить MAC-адрес не проблема даже для непрофессионала.
12. Перейдите на другой DNS-сервер
Вместо использования DNS-сервера вашего провайдера, можно перейти на альтернативные, например, Google Public DNS или OpenDNS . С одной стороны, это может ускорить выдачу интернет-страниц, а с другой, повысить безопасность. К примеру, OpenDNS блокирует вирусы, ботнеты и фишинговые запросы по любому порту, протоколу и приложению, и благодаря специальным алгоритмам на базе Больших Данных способен предсказывать и предотвращать разнообразные угрозы и атаки. При этом Google Public DNS – это просто скоростной DNS-сервер без дополнительных функций.
13. Установите альтернативную «прошивку»
И, наконец, радикальный шаг для того, кто понимает, что делает, – это установка микропрограммы, написанной не производителем вашего роутера, а энтузиастами. Как правило, такие «прошивки» не только расширяют функциональность устройства (обычно добавляются поддержка профессиональных функций вроде QoS, режима моста, SNMP и т.д), но и делают его более устойчивым к уязвимостям – в том числе и за счёт нестандартности.
Среди популярных open-source «прошивок» можно назвать основанные на Linux
Про домашние сети уже было сказано очень много красивых слов, поэтому сразу переходим к делу.
омашняя сеть требует аккуратного и бережного к себе отношения. Она нуждается в защите от самых разных факторов, а именно:
- от хакеров и сетевых напастей, типа вирусов и нерадивых пользователей;
- атмосферных явлений и несовершенства бытовой электросети;
- человеческого фактора, то есть загребущих рук.
Хотя наш журнал и компьютерный, но в этой статье мы в основном будем говорить на некомпьютерные темы. Информационную защиту рассмотрим лишь в общем, без конкретики. А вот некоторые другие аспекты заслуживают внимания, и прежде всего потому, что о них редко вспоминают.
Итак, начнем разговор с известной темы…
Загребущие руки
повать на сознательность людей не стоит - красивое оборудование с мигающими лампочками неминуемо привлекает всех, кто способен его взять. В принципе, чтобы обезопасить домашнюю сеть, можно добиться того, что все оборудование будет размещено в квартирах пользователей, но иногда возникает необходимость использовать чердак или подобное помещение. Обычно там удобно ставить роутеры, хабы, репитеры и т.п. Поставить - это не проблема. Чаще всего администрация ЖЭКов и ДЭЗов идет навстречу и дает разрешение. Главная задача заключается в том, чтобы все это хорошенько спрятать. Поскольку автор тоже является пользователем домашней сети и участвовал в ее создании, поговорим о тех решениях, которые нам показались удобными. В нашем случае оказалось довольно эффективно использовать решетчатый ящик с замком, из которого наружу выходят провода. Использовать цельный ящик с малым числом окон не стоит, поскольку компьютеру там станет жарко, особенно летом. Согласитесь, решение простое и дешевое. Тем, кто скажет, что и ящик можно утащить, отвечу: в квартиру тоже несложно залезть. То же самое касается «тарелок». С хабами последнее время возникла другая проблема: там много лампочек, вот люди и принимают их за взрывные устройства. Остаются провода: их спрятать невозможно. Поэтому риск, что их обрежут, существует. Ведь некоторые и с высоковольток снимают. А вот следующая тема - это уже некоторая претензия на образованность тех, кто прокладывает сеть.
Электрическая безопасность
десь существует несколько аспектов. Первый - стабильная работа устройств, обеспечивающих функционирование сети. Для этого необходимо хорошее электроснабжение наших домов, что, к сожалению, не всегда возможно. Имеют место скачки и перепады напряжения, запросто может случиться авария или появится необходимость на время отключить электричество. Ото всего, конечно, не защитишься, да наверняка и сеть не настолько важна, чтобы перебои в ее работе имели какие-то фатальные последствия для пользователей. Тем не менее существуют приспособления, которые могут сгладить (в прямом и переносном смысле) проблему, - это сетевые фильтры. От отключения они не спасут, а вот от скачков напряжения - вполне. Вы можете несколько улучшить шансы стабильной работы, купив несколько таких фильтров, так как их цена невысока. Следующий этап - UPS, которые, конечно, дороже, но предоставляют новые возможности. Во-первых, можно пережить короткое (конкретный срок зависит от цены) отключение питания. Во-вторых, все та же защита от скачков напряжения. Но не надо забывать, что имеется два принципиально разных вида UPS: BACK и SMART. Первые умеют только поддерживать питание, пока есть запас в батарее. Вторые могут общаться с компьютером и выключить его, чтобы избежать сбоев при неожиданном отключении. Очевидно, что для обеспечения безопасности компьютеров, стоящих на чердаках, вкладывать деньги в BACK UPS бессмысленно. Чтобы эффективно его использовать, нужно сидеть рядом с ним и при необходимости все выключать. Применение SMART UPS встает в копеечку. Здесь надо думать, что для вас дороже: перебои и возможная утрата оборудования из-за резких отключений или сотни полторы долларов за один SMART UPS.
Второй аспект - взаимодействие с обычной электрической сетью. Эта проблема возникает, когда необходимо тянуть сетевые провода в непосредственной близости от силовых кабелей. В некоторых домах этого можно избежать. Там есть хитрые дырки и ходы, куда можно просунуть провода. В нашем доме, например, таких дырок нет, и тянули мы провода по стояку рядом с телефонной линией. Скажу честно - крайне неудобно. Тянули мы витой парой, а просунуть в маленькую дырочку больше пяти проводов, не оборвав телефонной линии, крайне сложно. тем не менее это возможно. В нашем случае оставалось надеяться, что наводок не будет. Можно, конечно, купить экранированную витую пару, но она вам пригодится только в том случае, когда сетевые и силовые провода будут идти вперемешку. Вообще-то, наводки - вещь не частая, так как слишком уж разные частоты передачи сигнала. Что еще связано с силовыми проводами - так это заземление. Вещь безусловно полезная, но в старых домах заземление просто отсутствует. В нашем доме вообще ситуация аномальная: в доме электроплиты, сеть трехфазная, есть рабочий ноль, но нет земли. В принципе, возможно заземление на батарею радиатора, если, конечно, никто, кроме вас, до этого не додумался. Вот в нашем доме уже кто-то что-то заземлил - теперь у меня в квартире напряжение между трубой отопления и земляным контактом около 120 В, что очень не слабо, смею вас уверить.
И третий аспект - воздушки, или междомовые соединения. Речь идет, конечно, о сетевых проводах. Поскольку расстояния обычно немаленькие, использование витой пары затруднительно (ее ограничение - 80 м). Поэтому обычно кидают коаксиальный провод, в котором второй канал является экраном для первого. Правда, на этом экране вообще индуцируется все что угодно. Особенно опасны грозы, когда может накапливаться действительно большой заряд. К чему это приводит, очевидно: заряд попадает в сетевую карточку компьютера, стоящего на чердаке, и с огромной вероятностью гробит ее или даже весь компьютер. Для защиты от этого существуют устройства, называемые протектами, которые устанавливаются на концах проводов. Однако они тоже не совершенны, и через них порой пробивает. Имеется еще так называемый магистральный коаксиал с дополнительным экраном, никак не связанным с данными, но этот провод стоит даже дороже обычной витой пары.
А теперь переходим к основной для сетевиков проблеме - информационной безопасности.
Информационная безопасность
а мой взгляд, это самый интересный вопрос, который, однако, будет подробно освещен в других статьях этого спецвыпуска.
При более-менее приличном количестве пользователей сеть имеет свой почтовый сервер, DNS, очень часто - собственную страничку. Таким образом, провайдеру остается только канал и общая статистика. Тип канала может быть любой - радио или оптоволокно, что не существенно. Существенно построение сети.
Первая проблема - это взаимоотношение пользователей. Пока вы объединяетесь с друзьями в одном доме - это еще ничего. Вы друг друга знаете, и, что называется, люди не случайные. Вы вместе играете по сети, обмениваетесь файлами, выкладываете на свои сетевые диски на всеобщее обозрение интересные программы и т.д. Когда же сеть расширяется, то появляются новые люди, новые интересы. Некоторые откровенно начинают проверять свои хакерские способности. Вы скажете, что это надо пресекать в корне, отключать пожизненно и т.д. и т.п. Все правильно - наказывать надо, но нужно уметь и отражать подобные атаки. Попросту вы должны быть готовы к тому, что кто-то и изнутри может подложить свинью. Иногда это случается не по вине пользователя, точнее, не по прямой его вине (может, у него появился вирус, который портит жизнь соседям), но в любом случае возможность такой ситуации нельзя не учитывать.
Вторая проблема - это руководство, то есть «админы». Хотя сеть и простая, админы должны быть. При этом не стоит думать, что это может быть любой человек, хоть немного понимающий в UNIX. Это серьезная работа, которую нужно выполнять: следить за сетью, быстро реагировать на неисправности. Ну и, конечно, нужно разбираться в администрировании: уметь грамотно наладить шлюз, firewall, организовать статистику, почту и, может быть, что-то еще. Все это должно работать стабильно и быстро. Плюс к тому у руководства сети появляется и финансовая ответственность. Им платят деньги за работу сети. И логично, что люди рассчитывают получить за эти деньги нормальную качественную связь. Ситуация особенно обостряется, когда пользователей становится много. Не все могут с пониманием отнестись к тому, что админов, скажем, три, пользователей 150, а авария вообще у внешнего провайдера.
Третья проблема - это статистика. Организовать ее несложно. Программ, осуществляющих биллинг, то есть работу со счетами, а в нашем случае - учет трафика, довольно много. Установить такую программу, разобраться с ее работой и начать считать каждый байт - дело нехитрое. Нужно только не забывать делать резервные копии. Желательно каждый день. хорошо бы делать такие копии со всех материалов и файлов, являющихся достоянием всей сети, однако особенно важной представляется информация о пользователях и их статистика.
И наконец, непосредственно информация. Во-первых - это шлюз. Надо сконфигурировать на нем firewall так, чтобы сеть была реально безопасной. Для этого нужно пропускать только свои пакеты, проверять, что происходит внутри сети, естественно, следить за попытками вторжения и постоянно обновлять систему. Во-вторых - это почта. Хорошо бы проверять почту на наличие вирусов сразу по ее приходу на почтовый сервер сети. Это может избавить от многих хлопот в дальнейшем. Если пользователи невнимательные и настройки их браузеров позволяют вирусам проникать в компьютер, то такая проверка обезопасит как самих этих пользователей, так и их соседей - если вирус сам распространяется по сети. В-третьих - это возможности пользователей. Нужно разрешать только то, что необходимо. Я имею в виду сетевые порты. Чем меньше их открыто, тем проще следить за происходящим в сети. Если открыты игровые порты или еще какие-либо нерабочие, то разумно делать их доступными только внутри сети.
С этой проблемой тесно связана проблема создания пользователями собственных ресурсов, например Web-серверов. Кажется логичным, что пользователь может поднять свой сервер на собственном компьютере. Однако тем самым создаются новые возможности для неугомонных хакеров. Нужно ли вам это? Может быть. Но в этом случае вы как администратор должны либо следить за компьютером этого пользователя, либо доверять опыту поднявшего свой сервер абонента.
Вот, пожалуй, и все, к чему хотелось привлечь ваше внимание. Нужно подчеркнуть еще раз, что сеть, в том числе и домашняя, - это не только компьютеры, порты и хакеры. Это еще, банальные сложности в отношениях с людьми, проблема сохранности оборудования, физическая и электрическая безопасность. Многие об этом не задумываются, так как просто привыкли видеть уже готовую инфраструктуру в офисе или где-либо еще, хотя уже при создании домашней сети начинают возникать вопросы. То, о чем здесь рассказано, частично имело место и при создании сети в нашем районе. Поэтому многие вопросы хорошо знакомы автору. Возможно, это попытка предостеречь других от ошибок, которые мы сами допустили или которых нам удалось избежать благодаря «старшим товарищам», уже имевшим определенный опыт.
КомпьютерПресс 3"2002
Главную угрозу безопасности ваших данных несет Всемирная паутина. Как обеспечить надежную защиту домашней сети?
Зачастую пользователи ошибочно полагают, что для защиты подсоединенного к Интернету домашнего ПК вполне достаточно обычного антивируса. В заблуждение вводят и надписи на коробках роутеров, гласящие, что в этих устройствах на аппаратном уровне реализован мощный брандмауэр, способный защитить от хакерских атак. Эти утверждения верны лишь отчасти. Прежде всего, оба инструмента требуют грамотной настройки. При этом многие антивирусные пакеты просто не снабжены такой функцией, как брандмауэр.
Между тем грамотное построение защиты начинается уже с самого соединения с Интернетом. В современных домашних сетях, как правило, применяют Wi-Fi-роутеры с использованием кабельного Ethetnet-соединения. Через локальную сеть выход в Интернет имеют настольные компьютеры и ноутбуки, смартфоны и планшеты. Причем в единой связке находятся как сами ПК, так и периферийные устройства, такие как принтеры и сканеры, многие из которых подключаются именно через сеть.
Взломав вашу точку доступа, злоумышленник может не только пользоваться вашим подключением к Интернету и управлять домашними компьютерными устройствами, но и размещать во Всемирной паутине незаконный контент, используя ваш IP-адрес, а также похитить информацию, хранящуюся на оборудовании, подключенном к сети. Сегодня поговорим об основных правилах защиты сетей, поддержания их работоспособности и профилактики от взлома.
Аппаратные средства
Современное сетевое оборудование в большинстве своем требует настройки средств безопасности. Прежде всего речь идет о различных фильтрах, сетевых экранах и списках доступа по расписанию. Параметры защиты может задать и неподготовленный пользователь, однако следует знать некоторые нюансы.
ИСПОЛЬЗУЕМ ШИФРОВАНИЕ ТРАФИКА Настраивая точку доступа, позаботьтесь о включении наиболее надежных механизмов защиты трафика, создайте сложный, бессмысленный пароль и используйте протокол WPA2 с алгоритмом шифрования AES. Протокол WEP устарел и может быть взломан за считаные минуты.
РЕГУЛЯРНО МЕНЯЕМ УЧЕТНЫЕ ДАННЫЕ Устанавливайте надежные пароли доступа и регулярно (например, раз в полгода) меняйте их. Проще всего взломать устройство, на котором пользователь оставил стандартные логин и пароль «admin»/«admin».
СКРЫВАЕМ SSID
Параметр SSID (Service Set Identifier) - это публичное имя беспроводной сети, которое транслируется в эфир, чтобы его могли видеть пользовательские устройства. Использование опции скрытия SSID позволит защититься от начинающих взломщиков, но тогда для подключения новых устройств необходимо будет вручную вводить параметры точки доступа.
СОВЕТ
При первичной настройке точки доступа поменяйте SSID, так как это имя отображает модель роутера, что может послужить подсказкой взломщику при поиске уязвимостей.
НАСТРАИВАЕМ ВСТРОЕННЫЙ БРАНДМАУЭР Маршрутизаторы в большинстве случаев оснащаются простыми версиями сетевых экранов. С их помощью не удастся досконально настроить множество правил для безопасной работы в сети, но можно перекрыть основные уязвимости, или, например, запретить работу почтовых клиентов.
ОГРАНИЧЕНИЕ ДОСТУПА ПО MAC-АДРЕСАМ
Используя списки MAC-адресов (Media Access Control), можно запретить доступ к локальной сети тем устройствам, физические адреса которых не внесены в такой перечень. Для этого вам потребуется вручную создать списки допущенного к сети оборудования. У каждого устройства, снабженного сетевым интерфейсом, есть уникальный, присваиваемый ему на заводе MAC-адрес. Его можно узнать, посмотрев на этикетку или маркировку, нанесенную на оборудование, либо с помощью специальных команд и сетевых сканеров. При наличии веб-интерфейса или дисплея (например, у роутеров и сетевых принтеров) MAC-адрес вы найдете в меню настроек.
MAC-адрес сетевой карты компьютера можно узнать в ее свойствах. Для этого нужно зайти в меню «Панель управления | Сети и Интернет | Центр управления сетями и общим доступом», затем в левой части окна перейти по ссылке «Изменение параметров адаптера», кликнуть правой клавишей мыши по используемой сетевой карте и выбрать пункт «Состояние». В открывшемся окне нужно нажать на кнопку «Сведения» и посмотреть строку «Физический адрес», где будут отображены шесть пар цифр, обозначающие MAC-адрес вашей сетевой карты.
Есть и более быстрый способ. Чтобы воспользоваться им, нажмите сочетание клавиш «Win+R», в появившейся строке введите CMD и кликните по «ОК». В открывшемся окне введите команду:
Нажмите «Enter». Найдите в отображенных данных строчки «Физический адрес» - это значение и является MAC-адресом.
Программные средства
Защитив сеть физически, необходимо позаботиться и о программной части «обороны». В этом вам помогут комплексные антивирусные пакеты, сетевые экраны и сканеры уязвимостей.
НАСТРАИВАЕМ ДОСТУП К ПАПКАМ Не располагайте папки с системными или просто важными данными в директориях, доступ к которым открыт пользователям внутренней сети. Кроме того, старайтесь не создавать папки, открытые для доступа из сети, на системном диске. Все подобные директории, если нет особой необходимости, лучше ограничить атрибутом «Только чтение». В противном случае в общей папке может поселиться замаскированный под документы вирус.
УСТАНАВЛИВАЕМ СЕТЕВОЙ ЭКРАН
Программные сетевые экраны, как правило, просты в настройке и имеют режим самообучения. При его использовании программа спрашивает у пользователя, какие соединения он одобряет, а какие считает нужным запретить.
Рекомендуем использовать персональные брандмауэры, встроенные в такие популярные коммерческие продукты, как Kaspersky Iinternet Security, Norton internet Security, NOD Internet Security, а также бесплатные решения - например, Comodo Firewall. Штатный брандмауэр Windows, к сожалению, не может похвастаться надежным обеспечением безопасности, предоставляя лишь базовые настройки портов.
Тест на уязвимости
Наибольшую опасность для работоспособности компьютера и сети представляют программы, содержащие «дыры», и неправильно настроенные средства защиты.
XSpider Легкая в использовании программа для сканированиясети на наличие уязвимостей. Она позволит быстро выявить большинство актуальных проблем, а также предоставит их описание и, в некоторых случаях, способы устранения. К сожалению, некоторое время назад утилита стала платной, и в этом, пожалуй, ее единственный минус.
Nmap Некоммерческий сетевой сканер с открытым исходным кодом. Программа изначально разрабатывалась для пользователей UNIX, но впоследствии, благодаря возросшей популярности, была портирована на Windows. Утилита рассчитана на опытных пользователей. Nmap имеет простой и удобный интерфейс, однако разобраться в выдаваемых ею данных без базовых знаний будет непросто.
KIS 2013 Этот пакет предоставляет не только комплексную защиту, но и средства диагностики. С его помощью можно просканировать установленные программы на наличие критических уязвимостей. По итогам данной процедуры программа представит список утилит, бреши в которых нужно закрыть, при этом можно узнать подробные сведения о каждой из уязвимостей и способах ее устранения.
Советы по монтажу сети
Сделать сеть более защищенной можно не только на этапе ее разворачивания и настройки, но и когда она уже имеется. При обеспечении безопасности необходимо учитывать количество подключаемых устройств, расположение сетевого кабеля, распространение сигнала Wi-Fi и типы препятствий для него.
РАСПОЛАГАЕМ ТОЧКУ ДОСТУПА Оцените, какую территорию вам нужно ввести в зону действия Wi-Fi. Если необходимо охватить только область вашей квартиры, то не стоит размещать беспроводную точку доступа рядом с окнами. Это снизит риск перехвата и взлома слабозащищенного канала вардрайверами - людьми, охотящимися за бесплатными беспроводными точками доступа в Интернет и использующими в том числе и незаконные методы. При этом следует учитывать, что каждая бетонная стена снижает мощность сигнала вдвое. Также помните, что зеркало платяного шкафа является практически непроницаемым экраном для Wi-Fi-сигнала, что в отдельных случаях можно использовать для предотвращения распространения радиоволн в определенных направлениях в квартире. Кроме того, некоторые Wi-Fi-роутеры позволяют аппаратно настроить мощность сигнала. Благодаря этой опции вы можете искусственно обеспечить доступ только для пользователей, находящихся в помещении с точкой доступа. Недостатком такого метода является возможное отсутствие сигнала в удаленных местах вашей квартиры.
ПРОКЛАДЫВАЕМ КАБЕЛИ
Сеть, организованная преимущественно с использованием кабеля, обеспечивает наивысшие скорость и надежность связи, и при этом исключается возможность вклинивания в нее со стороны, как это может произойти с соединением по Wi-Fi. возможность вклинивания в нее со стороны, как это может произойти с соединением по Wi-Fi.
Чтобы избежать несанкционированного подключения, при прокладке кабельной сети позаботьтесь о защите проводов от механических повреждений, используйте специальные кабель-каналы и не допускайте участков, на которых шнур будет слишком сильно провисать или, наоборот, чрезмерно натянут. Не прокладывайте кабель рядом с источниками сильных помех или в зоне с плохой средой (критические температуры и влажность). Также вы можете использовать экранированный кабель, обладающий дополнительной защитой.
ЗАЩИЩАЕМСЯ ОТ СТИХИИ
Проводные и беспроводные сети подвержены влиянию грозы, причем в некоторых случаях удар молнии может вывести из строя не только сетевое оборудование или сетевую карту, но и множество компонентов ПК. Для уменьшения риска прежде всего не забывайте о заземлении электрических розеток и компонентов ПК. Используйте устройства типа Pilot, в которых применяются защитные схемы от помех и скачков напряжения.
Кроме того, лучшим решением может стать источник бесперебойного питания (ИБП). Современные версии включают в себя как стабилизаторы напряжения и автономное питание, так и специальные разъемы для подключения через них сетевого кабеля. Если вдруг в оборудование интернет-провайдера ударит молния, такой ИБП не пропустит вредоносный скачок напряжения в сетевую карту вашего ПК. Стоит помнить, что в любом случае заземление розеток или самого оборудования чрезвычайно важно.
Использование средств построения VPN-туннелей
Довольно надежным способом защиты передаваемой по сети информации являются VPN-туннели (Virtual Private Network). Технология туннелирования позволяет создать зашифрованный канал, по которому передаются данные между несколькими устройствами. Организация VPN с целью повышения защиты информации возможна внутри домашней сети, однако это весьма трудоемко и требует специальных знаний. Наиболее распространенный метод использования VPN - подключение к домашнему ПК извне, например с рабочего компьютера. Таким образом передаваемые между вашими машинами данные будут хорошо защищены шифрованием трафика. Для этих целей лучше использовать весьма надежную бесплатную программу Hamachi. В данном случае потребуются лишь базовые знания по организации VPN, что по силам и неподготовленному пользователю.
Безопасность компьютерных сетей обеспечивается за счет политики и практик, принятых для предотвращения и мониторинга несанкционированного доступа, неправильного использования, модификации или отключения сети и доступных для нее ресурсов. Она включает в себя авторизацию доступа к данным, которая контролируется сетевым администратором. Пользователи выбирают или назначают идентификатор и пароль или другую аутентификационную информацию, которая позволяет им получать доступ к данным и программам в пределах своих полномочий.
Сетевая безопасность охватывает множество компьютерных сетей, как государственных, так и частных, которые используются в повседневной работе, проводя транзакции и коммуникации между предприятиями, государственными учреждениями и частными лицами. Сети могут быть частными (например, внутри компании) и иными (которые могут быть открыты для доступа общественности).
Безопасность компьютерных сетей связана с организациями, предприятиями и другими типами учреждений. Это защищает сеть, а также выполняет защитные и надзорные операции. Наиболее распространенным и простым способом защиты сетевого ресурса является присвоение ему уникального имени и соответствующего пароля.
Управление безопасностью
Управление безопасностью для сетей может быть различным для разных ситуаций. Домашний или малый офис может требовать только базовой безопасности, в то время как крупным предприятиям может потребоваться обслуживание с высоким уровнем надежности и расширенное программное и аппаратное обеспечение для предотвращения взлома и рассылки нежелательных атак.
Типы атак и уязвимостей сети
Уязвимость является слабостью в дизайне, реализации, работе или внутреннем контроле. Большинство обнаруженных уязвимостей задокументированы в базе данных Common Vulnerabilitiesand Exposures (CVE).
Сети могут подвергаться атакам из различных источников. Они могут быть двух категорий: «Пассивные», когда сетевой нарушитель перехватывает данные, проходящие через сеть, и «Активные», при которых злоумышленник инициирует команды для нарушения нормальной работы сети или для проведения мониторинга с целью получить доступ к данным.
Чтобы защитить компьютерную систему, важно разобраться в типах атак, которые могут быть осуществлены против нее. Эти угрозы могут быть разделены на следующие категории.
«Задняя дверь»
Бэкдор в компьютерной системе, криптосистеме или алгоритме - это любой секретный метод обхода обычных средств проверки подлинности или безопасности. Они могут существовать по ряду причин, в том числе по причине оригинального дизайна или из-за плохой конфигурации. Они могут быть добавлены разработчиком с целью разрешить какой-либо законный доступ, или же злоумышленником по иным причинам. Независимо от мотивов их существования они создают уязвимость.
Атаки типа «отказ в обслуживании»
Атаки на отказ в обслуживании (DoS) предназначены для того, чтобы сделать компьютер или сетевой ресурс недоступным для его предполагаемых пользователей. Организаторы такой атаки могут закрыть доступ к сети отдельным жертвам, например, путем преднамеренного ввода неправильного пароля много раз подряд, чтобы вызвать блокировку учетной записи, или же перегружать возможности машины или сети и блокировать всех пользователей одновременно. В то время как сетевая атака с одного IP-адреса может быть заблокирована добавлением нового правила брандмауэра, возможны многие формы атак с распределенным отказом в обслуживании (DDoS), где сигналы исходят от большого количества адресов. В таком случае защита намного сложнее. Такие атаки могут происходить из компьютеров, управляемых ботами, но возможен целый ряд других методов, включая атаки отражения и усиления, где целые системы непроизвольно осуществляют передачу такого сигнала.
Атаки прямого доступа
Несанкционированный пользователь, получающий физический доступ к компьютеру, скорее всего, может напрямую копировать данные из него. Такие злоумышленники также могут поставить под угрозу безопасность путем внесения изменений в операционную систему, установки программных червей, клавиатурных шпионов, скрытых устройств для прослушивания или использования беспроводных мышей. Даже если система защищена стандартными мерами безопасности, их можно обойти, загрузив другую ОС или инструмент с компакт-диска или другого загрузочного носителя. предназначено для предотвращения именно таких атак.
Концепция сетевой безопасности: основные пункты
Информационная безопасность в компьютерных сетях начинается с аутентификации, связанной с введением имени пользователя и пароля. Такая ее разновидность является однофакторной. С двухфакторной аутентификацией дополнительно используется и дополнительный параметр (токен безопасности или «ключ», карточка ATM или мобильный телефон), с трехфакторной применяется и уникальный пользовательский элемент (отпечаток пальца или сканирование сетчатки).
После аутентификации брандмауэр применяет политику доступа. Эта служба безопасности компьютерной сети эффективна для предотвращения несанкционированного доступа, но этот компонент может не проверить потенциально опасный контент, такой как компьютерные черви или трояны, передаваемые по сети. Антивирусное программное обеспечение или система предотвращения вторжений (IPS) помогают обнаруживать и блокировать действие таких вредоносных программ.
Система обнаружения вторжений, основанная на сканировании данных, может также отслеживать сеть для последующего анализа на высоком уровне. Новые системы, объединяющие неограниченное машинное обучение с полным анализом сетевого трафика, могут обнаруживать активных сетевых злоумышленников в виде вредоносных инсайдеров или целевых внешних вредителей, которые взломали пользовательский компьютер или учетную запись.
Кроме того, связь между двумя хостами может быть зашифрована для обеспечения большей конфиденциальности.
Защита компьютера
В обеспечении безопасности компьютерной сети применяются контрмеры - действия, устройства, процедура или техника, которые уменьшают угрозу, уязвимость или атаку, устраняя или предотвращая ее, минимизируя причиненный вред или обнаруживая и сообщая о его наличии.
Безопасное кодирование
Это одна из основных мер безопасности компьютерных сетей. В разработке программного обеспечения безопасное кодирование направлено на предотвращение случайного внедрения уязвимостей. Также возможно создать ПО, разработанное с нуля для обеспечения безопасности. Такие системы «безопасны по дизайну». Помимо этого, формальная проверка направлена на то, чтобы доказать правильность алгоритмов, лежащих в основе системы. Это особенно важно для криптографических протоколов.
Данная мера означает, что программное обеспечение разрабатывается с нуля для обеспечения безопасности информации в компьютерных сетях. В этом случае она считается основной особенностью.
Некоторые из методов этого подхода включают:
- Принцип наименьших привилегий, при котором каждая часть системы имеет только определенные полномочия, необходимые для ее функционирования. Таким образом, даже если злоумышленник получает доступ к этой части, он получит ограниченные полномочия относительно всей системы.
- Кодовые обзоры и модульные тесты - это подходы к обеспечению большей безопасности модулей, когда формальные доказательства корректности невозможны.
- Глубокая защита, где дизайн таков, что необходимо нарушить несколько подсистем, чтобы нарушить целостность системы и информацию, которую она хранит. Это более глубокая техника безопасности компьютерных сетей.
Архитектура безопасности
Организация Open Security Architecture определяет архитектуру IT-безопасности как "артефакты дизайна, которые описывают расположение элементов управления безопасностью (контрмеры безопасности) и их взаимосвязь с общей архитектурой информационных технологий". Эти элементы управления служат для поддержания таких атрибутов качества системы, как конфиденциальность, целостность, доступность, ответственность и гарантии.
Другие специалисты определяют ее как единый дизайн безопасности компьютерных сетей и безопасности информационных систем, который учитывает потребности и потенциальные риски, связанные с определенным сценарием или средой, а также определяет, когда и где применять определенные средства.
Ключевыми ее атрибутами являются:
- отношения разных компонентов и того, как они зависят друг от друга.
- определение мер контроля на основе оценки рисков, передовой практики, финансов и правовых вопросов.
- стандартизации средств контроля.
Обеспечение безопасности компьютерной сети
Состояние «безопасности» компьютера - идеал, достигаемый при использовании трех процессов: предотвращения угрозы, ее обнаружения и ответа на нее. Эти процессы основаны на различных политиках и системных компонентах, которые включают следующее:
- Элементы управления доступом к учетной записи пользователя и криптографию, которые могут защищать системные файлы и данные.
- Брандмауэры, которые на сегодняшний день являются наиболее распространенными системами профилактики с точки зрения безопасности компьютерных сетей. Это связано с тем, что они способны (в том случае, если их правильно настроить) защищать доступ к внутренним сетевым службам и блокировать определенные виды атак посредством фильтрации пакетов. Брандмауэры могут быть как аппаратными, так и программными.
- Системы обнаружения вторжений (IDS), которые предназначены для обнаружения сетевых атак в процессе их осуществления, а также для оказания помощи после атаки, в то время как контрольные журналы и каталоги выполняют аналогичную функцию для отдельных систем.
«Ответ» обязательно определяется оцененными требованиями безопасности отдельной системы и может охватывать диапазон от простого обновления защиты до уведомления соответствующих инстанций, контратаки и т. п. В некоторых особых случаях лучше всего уничтожить взломанную или поврежденную систему, так как может случиться, что не все уязвимые ресурсы будут обнаружены.
Что такое брандмауэр?
Сегодня система безопасности компьютерной сети включает в себя в основном «профилактические» меры, такие как брандмауэры или процедуру выхода.
Брандмауэр можно определить как способ фильтрации сетевых данных между хостом или сетью и другой сетью, такой как Интернет. Он может быть реализован как программное обеспечение, запущенное на машине и подключающееся к сетевому стеку (или, в случае UNIX-подобных систем, встроенное в ядро ОС), чтобы обеспечить фильтрацию и блокировку в реальном времени. Другая реализация - это так называемый «физический брандмауэр», который состоит из отдельной фильтрации сетевого трафика. Такие средства распространены среди компьютеров, которые постоянно подключены к Интернету, и активно применяются для обеспечения информационной безопасности компьютерных сетей.
Некоторые организации обращаются к крупным платформам данных (таким как Apache Hadoop) для обеспечения доступности данных и машинного обучения для обнаружения передовых постоянных угроз.
Однако относительно немногие организации поддерживают компьютерные системы с эффективными системами обнаружения, и они имеют еще меньше механизмов организованного реагирования. Это создает проблемы обеспечения технологической безопасности компьютерной сети. Основным препятствием для эффективного искоренения киберпреступности можно назвать чрезмерную зависимость от брандмауэров и других автоматизированных систем обнаружения. Тем не менее это основополагающий сбор данных с использованием устройств захвата пакетов, которые останавливают атаки.
Управление уязвимостями
Управление уязвимостями - это цикл выявления, устранения или смягчения уязвимостей, особенно в программном обеспечении и прошивке. Этот процесс является неотъемлемой частью обеспечения безопасности компьютерных систем и сетей.
Уязвимости можно обнаружить с помощью сканера, который анализирует компьютерную систему в поисках известных «слабых мест», таких как открытые порты, небезопасная конфигурация программного обеспечения и беззащитность перед вредоносным ПО.
Помимо сканирования уязвимостей, многие организации заключают контракты с аутсорсингами безопасности для проведения регулярных тестов на проникновение в свои системы. В некоторых секторах это контрактное требование.
Снижение уязвимостей
Несмотря на то, что формальная проверка правильности компьютерных систем возможна, она еще не распространена. Официально проверенные ОС включают в себя seL4 и SYSGO PikeOS, но они составляют очень небольшой процент рынка.
Современные компьютерные сети, обеспечивающие безопасность информации в сети, активно используют двухфакторную аутентификацию и криптографические коды. Это существенно снижает риски по следующим причинам.
Взлом криптографии сегодня практически невозможен. Для ее осуществления требуется определенный некриптографический ввод (незаконно полученный ключ, открытый текст или другая дополнительная криптоаналитическая информация).
Это метод смягчения несанкционированного доступа к системе или конфиденциальной информации. Для входа в защищенную систему требуется два элемента:
- «то, что вы знаете» - пароль или PIN-код;
- «то, что у вас есть» - карта, ключ, мобильный телефон или другое оборудование.
Это повышает безопасность компьютерных сетей, так как несанкционированный пользователь нуждается в обоих элементах одновременно для получения доступа. Чем жестче вы будете соблюдать меры безопасности, тем меньше взломов может произойти.
Можно снизить шансы злоумышленников, постоянно обновляя системы с исправлениями функций безопасности и обновлениями, использованием специальных сканеров. Эффект потери и повреждения данных может быть уменьшен путем тщательного создания резервных копий и хранения.
Механизмы защиты оборудования
Аппаратное обеспечение тоже может быть источником угрозы. Например, взлом может быть осуществлен с использованием уязвимостей микрочипов, злонамеренно введенных во время производственного процесса. Аппаратная или вспомогательная безопасность работы в компьютерных сетях также предлагает определенные методы защиты.
Использование устройств и методов, таких как ключи доступа, доверенные модули платформы, системы обнаружения вторжений, блокировки дисков, отключение USB-портов и доступ с поддержкой мобильной связи, могут считаться более безопасными из-за необходимости физического доступа к сохраненным данным. Каждый из них более подробно описан ниже.
Ключи
USB-ключи обычно используются в процессе лицензирования ПО для разблокировки программных возможностей, но они также могут рассматриваться как способ предотвращения несанкционированного доступа к компьютеру или другому устройству. Ключ создает безопасный зашифрованный туннель между ним и программным приложением. Принцип заключается в том, что используемая схема шифрования (например, AdvancedEncryptionStandard (AES)), обеспечивает более высокую степень информационной безопасности в компьютерных сетях, поскольку сложнее взломать и реплицировать ключ, чем просто скопировать собственное ПО на другую машину и использовать его.
Еще одно применение таких ключей - использование их для доступа к веб-контенту, например, облачному программному обеспечению или виртуальным частным сетям (VPN). Кроме того, USB-ключ может быть сконфигурирован для блокировки или разблокировки компьютера.
Защищенные устройства
Защищенные устройства доверенных платформ (TPM) интегрируют криптографические возможности на устройства доступа, используя микропроцессоры или так называемые компьютеры на кристалле. TPM, используемые в сочетании с программным обеспечением на стороне сервера, предлагают оригинальный способ обнаружения и аутентификации аппаратных устройств, а также предотвращение несанкционированного доступа к сети и данным.
Обнаружение вторжений в компьютер осуществляется посредством кнопочного выключателя, который срабатывает при открытии корпуса машины. Прошивка или BIOS запрограммированы на оповещение пользователя, когда устройство будет включено в следующий раз.
Блокировка
Безопасность компьютерных сетей и безопасность информационных систем может быть достигнута и путем блокировки дисков. Это, по сути, программные инструменты для шифрования жестких дисков, делающие их недоступными для несанкционированных пользователей. Некоторые специализированные инструменты разработаны специально для шифрования внешних дисков.
Отключение USB-портов - это еще один распространенный параметр безопасности для предотвращения несанкционированного и злонамеренного доступа к защищенному компьютером. Зараженные USB-ключи, подключенные к сети с устройства внутри брандмауэра, рассматриваются как наиболее распространенная угроза для компьютерной сети.
Мобильные устройства с поддержкой сотовой связи становятся все более популярными из-за повсеместного использования сотовых телефонов. Такие встроенные возможности, как Bluetooth, новейшая низкочастотная связь (LE), ближняя полевая связь (NFC) привели к поиску средств, направленных на устранение уязвимостей. Сегодня активно используется как биометрическая проверка (считывание отпечатка большого пальца), так и программное обеспечение для чтения QR-кода, предназначенное для мобильных устройств. Все это предлагает новые, безопасные способы подключения мобильных телефонов к системам контроля доступа. Это обеспечивает компьютерную безопасность, а также может использоваться для контроля доступа к защищенным данным.
Возможности и списки контроля доступа
Особенности информационной безопасности в компьютерных сетях основаны на разделении привилегий и степени доступа. Широко распространены две такие модели - это списки управления доступом (ACL) и безопасность на основе возможностей.
Использование ACL для ограничения работы программ оказалось во многих ситуациях небезопасным. Например, хост-компьютер можно обмануть, косвенно разрешив доступ к ограниченному файлу. Было также показано, что обещание ACL предоставить доступ к объекту только одному пользователю никогда не может быть гарантировано на практике. Таким образом, и сегодня существуют практические недостатки во всех системах на основе ACL, но разработчики активно пытаются их исправить.
Безопасность на основе возможностей в основном применяется в исследовательских операционных системах, в то время как коммерческие ОС по-прежнему используют списки ACL. Однако возможности могут быть реализованы только на уровне языка, что приводит к специфическому стилю программирования, который по существу является уточнением стандартного объектно-ориентированного дизайна.