Обслуживание 

Домашняя сеть: безопасность со всех сторон. Безопасная домашняя сеть: создаём изолированный сегмент для гостей

Главную угрозу безопасности ваших данных несет Всемирная паутина. Как обеспечить надежную защиту домашней сети?

Зачастую пользователи ошибочно полагают, что для защиты подсоединенного к Интернету домашнего ПК вполне достаточно обычного антивируса. В заблуждение вводят и надписи на коробках роутеров, гласящие, что в этих устройствах на аппаратном уровне реализован мощный брандмауэр, способный защитить от хакерских атак. Эти утверждения верны лишь отчасти. Прежде всего, оба инструмента требуют грамотной настройки. При этом многие антивирусные пакеты просто не снабжены такой функцией, как брандмауэр.

Между тем грамотное построение защиты начинается уже с самого соединения с Интернетом. В современных домашних сетях, как правило, применяют Wi-Fi-роутеры с использованием кабельного Ethetnet-соединения. Через локальную сеть выход в Интернет имеют настольные компьютеры и ноутбуки, смартфоны и планшеты. Причем в единой связке находятся как сами ПК, так и периферийные устройства, такие как принтеры и сканеры, многие из которых подключаются именно через сеть.

Взломав вашу точку доступа, злоумышленник может не только пользоваться вашим подключением к Интернету и управлять домашними компьютерными устройствами, но и размещать во Всемирной паутине незаконный контент, используя ваш IP-адрес, а также похитить информацию, хранящуюся на оборудовании, подключенном к сети. Сегодня поговорим об основных правилах защиты сетей, поддержания их работоспособности и профилактики от взлома.

Аппаратные средства

Современное сетевое оборудование в большинстве своем требует настройки средств безопасности. Прежде всего речь идет о различных фильтрах, сетевых экранах и списках доступа по расписанию. Параметры защиты может задать и неподготовленный пользователь, однако следует знать некоторые нюансы.

ИСПОЛЬЗУЕМ ШИФРОВАНИЕ ТРАФИКА Настраивая точку доступа, позаботьтесь о включении наиболее надежных механизмов защиты трафика, создайте сложный, бессмысленный пароль и используйте протокол WPA2 с алгоритмом шифрования AES. Протокол WEP устарел и может быть взломан за считаные минуты.

РЕГУЛЯРНО МЕНЯЕМ УЧЕТНЫЕ ДАННЫЕ Устанавливайте надежные пароли доступа и регулярно (например, раз в полгода) меняйте их. Проще всего взломать устройство, на котором пользователь оставил стандартные логин и пароль «admin»/«admin».

СКРЫВАЕМ SSID Параметр SSID (Service Set Identifier) - это публичное имя беспроводной сети, которое транслируется в эфир, чтобы его могли видеть пользовательские устройства. Использование опции скрытия SSID позволит защититься от начинающих взломщиков, но тогда для подключения новых устройств необходимо будет вручную вводить параметры точки доступа.

СОВЕТ При первичной настройке точки доступа поменяйте SSID, так как это имя отображает модель роутера, что может послужить подсказкой взломщику при поиске уязвимостей.

НАСТРАИВАЕМ ВСТРОЕННЫЙ БРАНДМАУЭР Маршрутизаторы в большинстве случаев оснащаются простыми версиями сетевых экранов. С их помощью не удастся досконально настроить множество правил для безопасной работы в сети, но можно перекрыть основные уязвимости, или, например, запретить работу почтовых клиентов.

ОГРАНИЧЕНИЕ ДОСТУПА ПО MAC-АДРЕСАМ Используя списки MAC-адресов (Media Access Control), можно запретить доступ к локальной сети тем устройствам, физические адреса которых не внесены в такой перечень. Для этого вам потребуется вручную создать списки допущенного к сети оборудования. У каждого устройства, снабженного сетевым интерфейсом, есть уникальный, присваиваемый ему на заводе MAC-адрес. Его можно узнать, посмотрев на этикетку или маркировку, нанесенную на оборудование, либо с помощью специальных команд и сетевых сканеров. При наличии веб-интерфейса или дисплея (например, у роутеров и сетевых принтеров) MAC-адрес вы найдете в меню настроек.
MAC-адрес сетевой карты компьютера можно узнать в ее свойствах. Для этого нужно зайти в меню «Панель управления | Сети и Интернет | Центр управления сетями и общим доступом», затем в левой части окна перейти по ссылке «Изменение параметров адаптера», кликнуть правой клавишей мыши по используемой сетевой карте и выбрать пункт «Состояние». В открывшемся окне нужно нажать на кнопку «Сведения» и посмотреть строку «Физический адрес», где будут отображены шесть пар цифр, обозначающие MAC-адрес вашей сетевой карты.

Есть и более быстрый способ. Чтобы воспользоваться им, нажмите сочетание клавиш «Win+R», в появившейся строке введите CMD и кликните по «ОК». В открывшемся окне введите команду:

Нажмите «Enter». Найдите в отображенных данных строчки «Физический адрес» - это значение и является MAC-адресом.

Программные средства

Защитив сеть физически, необходимо позаботиться и о программной части «обороны». В этом вам помогут комплексные антивирусные пакеты, сетевые экраны и сканеры уязвимостей.

НАСТРАИВАЕМ ДОСТУП К ПАПКАМ Не располагайте папки с системными или просто важными данными в директориях, доступ к которым открыт пользователям внутренней сети. Кроме того, старайтесь не создавать папки, открытые для доступа из сети, на системном диске. Все подобные директории, если нет особой необходимости, лучше ограничить атрибутом «Только чтение». В противном случае в общей папке может поселиться замаскированный под документы вирус.

УСТАНАВЛИВАЕМ СЕТЕВОЙ ЭКРАН Программные сетевые экраны, как правило, просты в настройке и имеют режим самообучения. При его использовании программа спрашивает у пользователя, какие соединения он одобряет, а какие считает нужным запретить.
Рекомендуем использовать персональные брандмауэры, встроенные в такие популярные коммерческие продукты, как Kaspersky Iinternet Security, Norton internet Security, NOD Internet Security, а также бесплатные решения - например, Comodo Firewall. Штатный брандмауэр Windows, к сожалению, не может похвастаться надежным обеспечением безопасности, предоставляя лишь базовые настройки портов.

Тест на уязвимости

Наибольшую опасность для работоспособности компьютера и сети представляют программы, содержащие «дыры», и неправильно настроенные средства защиты.

XSpider Легкая в использовании программа для сканированиясети на наличие уязвимостей. Она позволит быстро выявить большинство актуальных проблем, а также предоставит их описание и, в некоторых случаях, способы устранения. К сожалению, некоторое время назад утилита стала платной, и в этом, пожалуй, ее единственный минус.

Nmap Некоммерческий сетевой сканер с открытым исходным кодом. Программа изначально разрабатывалась для пользователей UNIX, но впоследствии, благодаря возросшей популярности, была портирована на Windows. Утилита рассчитана на опытных пользователей. Nmap имеет простой и удобный интерфейс, однако разобраться в выдаваемых ею данных без базовых знаний будет непросто.

KIS 2013 Этот пакет предоставляет не только комплексную защиту, но и средства диагностики. С его помощью можно просканировать установленные программы на наличие критических уязвимостей. По итогам данной процедуры программа представит список утилит, бреши в которых нужно закрыть, при этом можно узнать подробные сведения о каждой из уязвимостей и способах ее устранения.

Советы по монтажу сети

Сделать сеть более защищенной можно не только на этапе ее разворачивания и настройки, но и когда она уже имеется. При обеспечении безопасности необходимо учитывать количество подключаемых устройств, расположение сетевого кабеля, распространение сигнала Wi-Fi и типы препятствий для него.

РАСПОЛАГАЕМ ТОЧКУ ДОСТУПА Оцените, какую территорию вам нужно ввести в зону действия Wi-Fi. Если необходимо охватить только область вашей квартиры, то не стоит размещать беспроводную точку доступа рядом с окнами. Это снизит риск перехвата и взлома слабозащищенного канала вардрайверами - людьми, охотящимися за бесплатными беспроводными точками доступа в Интернет и использующими в том числе и незаконные методы. При этом следует учитывать, что каждая бетонная стена снижает мощность сигнала вдвое. Также помните, что зеркало платяного шкафа является практически непроницаемым экраном для Wi-Fi-сигнала, что в отдельных случаях можно использовать для предотвращения распространения радиоволн в определенных направлениях в квартире. Кроме того, некоторые Wi-Fi-роутеры позволяют аппаратно настроить мощность сигнала. Благодаря этой опции вы можете искусственно обеспечить доступ только для пользователей, находящихся в помещении с точкой доступа. Недостатком такого метода является возможное отсутствие сигнала в удаленных местах вашей квартиры.


ПРОКЛАДЫВАЕМ КАБЕЛИ Сеть, организованная преимущественно с использованием кабеля, обеспечивает наивысшие скорость и надежность связи, и при этом исключается возможность вклинивания в нее со стороны, как это может произойти с соединением по Wi-Fi. возможность вклинивания в нее со стороны, как это может произойти с соединением по Wi-Fi.
Чтобы избежать несанкционированного подключения, при прокладке кабельной сети позаботьтесь о защите проводов от механических повреждений, используйте специальные кабель-каналы и не допускайте участков, на которых шнур будет слишком сильно провисать или, наоборот, чрезмерно натянут. Не прокладывайте кабель рядом с источниками сильных помех или в зоне с плохой средой (критические температуры и влажность). Также вы можете использовать экранированный кабель, обладающий дополнительной защитой.

ЗАЩИЩАЕМСЯ ОТ СТИХИИ Проводные и беспроводные сети подвержены влиянию грозы, причем в некоторых случаях удар молнии может вывести из строя не только сетевое оборудование или сетевую карту, но и множество компонентов ПК. Для уменьшения риска прежде всего не забывайте о заземлении электрических розеток и компонентов ПК. Используйте устройства типа Pilot, в которых применяются защитные схемы от помех и скачков напряжения.
Кроме того, лучшим решением может стать источник бесперебойного питания (ИБП). Современные версии включают в себя как стабилизаторы напряжения и автономное питание, так и специальные разъемы для подключения через них сетевого кабеля. Если вдруг в оборудование интернет-провайдера ударит молния, такой ИБП не пропустит вредоносный скачок напряжения в сетевую карту вашего ПК. Стоит помнить, что в любом случае заземление розеток или самого оборудования чрезвычайно важно.


Использование средств построения VPN-туннелей
Довольно надежным способом защиты передаваемой по сети информации являются VPN-туннели (Virtual Private Network). Технология туннелирования позволяет создать зашифрованный канал, по которому передаются данные между несколькими устройствами. Организация VPN с целью повышения защиты информации возможна внутри домашней сети, однако это весьма трудоемко и требует специальных знаний. Наиболее распространенный метод использования VPN - подключение к домашнему ПК извне, например с рабочего компьютера. Таким образом передаваемые между вашими машинами данные будут хорошо защищены шифрованием трафика. Для этих целей лучше использовать весьма надежную бесплатную программу Hamachi. В данном случае потребуются лишь базовые знания по организации VPN, что по силам и неподготовленному пользователю.

Раньше многие могли как-то контролировать наличие у себя в сети одного-двух устройств, то сейчас устройств у пользователей становится всё больше. Это затрудняет осуществление надёжного контроля.

Развитие техники и телекоммуникаций приводит к быстрому росту в домах пользователей всевозможных устройств, которые умеют работать с Интернетом. Пользователи охотно приобретают устройства, которые взаимодействуют с Интернетом для прослушивания Интернет-радио, скачивания музыки, фильмов, программ, электронных книг и для других действий. И если раньше многие могли как-то контролировать наличие у себя в сети одного-двух устройств, то сейчас устройств у пользователей становится всё больше. Это затрудняет осуществление надёжного контроля. Особенно, когда семья состоит из нескольких пользователей, которые умудряются подключать девайсы к сети, не согласуя друг с другом. Отсутствие знаний в области грамотной настройки домашней сети приводит к тому, что за пользователями могут подсматривать из интернета помимо их воли (http://habrahabr.ru/post/189674/). Либо, наоборот: пользователи теряют возможность удалённо следить через интернет происходящее в поле зрения их IP-камер из-за Робин Гудов .

Данной статьёй, в идеале, хотелось бы повысить грамотность населения в озвученной сфере. По крайней мере, надеюсь, что мой опыт сэкономит время и силы тем, кто давно подумывал разобраться с цифровой анархией в своей домашней сети. А, может быть, будет полезен тем, кто задумался о том, как грамотно организовать свой домашний кинотеатр.

Изначально я столкнулся с ситуацией, что список техники у меня дома, испытывающей потребность в Интернете достиг:

  1. 2 ПЭВМ (моя и родителей)
  2. мобильный телефон
  3. утварь для домашнего кинотеатра (NAS-сервер Synology, медиа-проигрыватель Dune)
  4. планшет
Пытаясь разобраться как же контролировать этот хаос, я пришёл к логическому выводу: мне нужен беспроводной роутер. Слишком сильно раскошеливаться я не был намерен. С другой стороны, тяга к знаниям довела меня до мысли, что было бы неплохо перехватывать трафик различных устройств, которыми я уже успел обогатить свои цифровые владения. Интересно же как они там общаются с сервером обновления ПО. Не «говорят» ли чего лишнего. Казалось бы, трудно сочетать такие требования: либо цена подскочит, либо железка попадёт в руки, которую без тонны мануалов не настроить. А времени сильно разбираться, если честно, не было.

Но, в итоге, я смог убить двух зайцев. Остановился я на латвийском роутере Mikrotik 751G-2HnD. Он не нанёс моему кошельку сильного ущерба (ровно как и моей радости от приобретённого девайса). И смог покрыть все мои потребности. Забегая вперёд, скажу, что опыт общения с этой железкой у меня был настолько хорошим, что я и в офис прикупил его старшего брата Mikrotik 951G-2HnD

Общая схема подключения всех устройств показана на рис №1.

Рис №1 Общая схема подключения устройств в моей домашней сети

Снабжу картинку некоторыми пояснениями. TV сам по себе с интернетом не общается. Просто потому, что он не имеет Ethernet-кабеля (был куплен чёрте когда). Он соединяется HDMI-кабелем с медиа-проигрывателем (Dune HD Smart D1). А вот уже Dune может транслировать видео на TV. Несмотря на некоторые возможности Dune по хранению данных и поддержке съёмных носителей (а также наличие встроенного торрент-клиента). Он используется только как медиа-проигрыватель. А уже Synology DS212j используется как хранилище музыки, фильмов. Также имеет плагин для работы с Torrent-сетями. На этом устройстве настроена расшаренная папка, откуда Dune получает медиа-файлы к показу. Dune и Synology объединяются посредством подключения к обычному коммутатору (на картинке помечен как Switch). Мне не требовалось каких-то особенностей от коммутатора, так что купил первый попавшийся 4-х портовый коммутатор.

Коммутатор и обе ПЭВМ подключены в разные порты Mikrotik. Надо сказать, что мои родители серьёзно попработали в своё время вопрос наличия Интернета в разных частях квартиры ещё на этапе ремонта. Поэтому Ethernet-кабели проложены практически в каждую комнату в стенах. Так что физически оборудование рассредоточено по разным комнатам. А Ethernet-кабель не виднеется на полу, потолке или на стенах (что часто можно встретить в других квартирах). Хотя, в некоторых уголках всё-же не хватает проводки кабеля. Поэтому советую будущим молодым семьям с особой тщательностью продумывать этот вопрос. Ведь Wi-Fi не всегда является хорошим решением. Но в целом всё красиво подключено.

Итак, структура сети ясна, начнём с настройки Mikrotik

Первые шаги — дружим Mikrotik с интернетом.

Настройка Mikrotik с RouterOS v6.x не имеет никаких проблем. Через WebFig во вкладке Quick Set (рис №2) выставляете IP-адрес, выданный провайдером (в зависимости от Ваших условий прописываете статически, либо ставите DHCP для автоматического получения). При необходимости - можно менять MAC-адрес WAN-порта (если провайдер привязывает выдачу IP к MAC-адресу одного из Ваших устройств, например, предыдущего роутера). Ставите галочки, как на рис №2

Рис №2 первые шаги настройки

Для случая с RouterOS версии < 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.

Настройка сети - теория

На рис №3 - итоговая картинка, к которой я привёл сеть.

Рис №3 Итоговая настройка сети

Сначала расскажу что же я настроил, а потом перейдём непосредственно к настройке. На Mikrotik настроен port knocking, позволяющий безопасно открывать на определённое время доступ из Интернет к управлению NAS Synology через браузер. Вдруг чего захочется на скачку поставить, чтоб уже успело скачаться к возвращению домой.

Коммутатор подключён к порту 3 роутера. Поэтому, для удобства запоминания, всей сети на этом порту выдаются адреса из подсетки 192.168.3.х

IP-адрес Mikrotik для управления через веб-интерфейс 192.168.5.1.

ПЭВМ №1 (192.168.5.100) подключён к порту 5 роутера. Ему разрешено обращаться к Интернету, ко всем устройствам в сети и к Mikrotik - для его настройки.

ПЭВМ №2 (192.168.4.100) подключён к порту 4 роутера. Ему разрешено обращаться к Интернету, ко всем устройствам в сети, кроме Mikrotik (царь должен быть один).

NAS Synology, Dune - разрешено обращаться к сети 192.168.3.х и Интернету. Всё остальное запрещено.

Мобильные устройства получают адрес из сети 192.168.88.х и могут общаться с интернетом и другими мобильными устройствами. Общения с другими подсетями запрещены. Беспроводная сеть шифруется WPA2.

Вообще, Mikrotik поддерживает Radius для авторизации устройств в сети. В качестве сервера Radius может быть тот же Synology. Но я так уже не стал настраивать. Все неизвестные роутеру устройства не смогут общаться с Интернетом. Это поможет избегать ситуаций подобной следящими за пользователями телевизорами .

Крайне желательно, чтобы ПЭВМ, который управляет Mikrotik (в моём случае это ПЭВМ №1), подключался к Mikrotik напрямую, без коммутаторов. Это полезно для предотвращения перехвата параметров доступа администратора (используя атаку типа «человек посередине», пользуясь особенностями протокола ARP) при работе с Mikrotik через web-интерфейс. Ведь по-умолчанию web-интерфейс у Mikrotik идёт через открытый для анализа HTTP. Возможность перевести на HTTPS у Mikrotik присутствует. Однако, это выходит за рамки данной статьи, т. к. являет собой отдельную нетривиальную задачу (для начинающих администраторов Mikrotik).

Теперь, когда мы разобрались с тем, чего хотим добиться, самое время переходить к практической части.

Настройка сети - практика

Подключаемся к Mikrotik через web-интерфейс. В разделе IP->Pool зададим диапазон выдачи IP-адресов для сети 192.168.3.x (рис №4)

В разделе IP->DHCP Server во вкладке DHCP нажмём кнопку Add New и привяжем к физическому порту №3 Ethernet (ether3-slave-local ) созданный ранее пул выдачи адресов (pool3 ) (рис №5)

В разделе IP->Routes пропишем маршрут для новой сети (рис №7):

В разделе Interfaces выберем ether3-slave-local и сменим значение параметра Master Port на none (рис №8)

В разделе IP->Addresses создадим шлюз 192.168.3.1 для сети 192.168.3.0/24 для порта ether3-slave-local (рис №9)

Таким же образом настраиваются все остальные подсети на остальных физических портах Mikrotik.

Подсеть создана. Теперь устройства, подключенные к порту №3 Ethernet, могут работать с Интернетом и другими подсетями домашней сети. Самое время разрешить что нам нужно и запретить всё, что не разрешено в разделе IP->Firewall на вкладке Filter Rules .

Используя кнопку Add New создаём следующие правила:

Создаём правила, позволяющие обращаться к Mikrotik с ПЭВМ №1 (192.168.5.1 ), остальным запрещаем

Chain= input Src.address =192.168.5.100 Dst.address = 192.168.5.1 Action= accept

Chain= input Action= drop

Устройству NAS Synology позволяем «общаться» только с Интернетом, локальную сеть (192.168.0.0/16) исключаем:

Chain= forward Src.address =192.168.3.201 Dst.address = !192.168.0.0/16 Action= accept

Аналогичные настройки для медиа-плеера Dune:

Chain= forward Src.address =192.168.3.200 Dst.address = !192.168.0.0/16 Action= accept

Обоим ПЭВМ разрешаем «общаться» с Интернетом и всеми подсетями домашней сети:

Chain= forward Src.address =192.168.5.100 Dst.address = 0.0.0.0/0 Action= drop

Chain= forward Src.address =192.168.4.100 Dst.address = 0.0.0.0/0 Action= drop

Устройствам из сети 192.168.3.х (где NAS Synology и Dune) позволяем устанавливать соединения, инициаторами которых является ПЭВМ №1

Chain= forward Src.address =192.168.3.0/24 Dst.address = 192.168.5.100 Connection State = established, Action= accept

Всем остальным запрещаем исходящий трафик в Интернет и в подсети нашей сети:

Chain= forward Src.address =192.168.0.0/16 Dst.address =0.0.0.0/0 Action= drop

Для реализации port knocking выполним следующие правила:

chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_128_stage1 address-list=white_list_NAS address-list-timeout=1h in-inter packet-size=128

Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage2 address-list=ICMP_SSH_128_stage1 address-list-timeout=1m in-inter packet-size=128

Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage1 address-list=ICMP_SSH_98_stage2 address-list-timeout=1m in-inter packet-size=98

Chain=input action=add-src-to-address-list protocol=icmp address-list=ICMP_SSH_98_stage1 address-list-timeout=1m in-inter packet-size=98

Кому интересно почему именно так прописывается могут прочитать (http://habrahabr.ru/post/186488/)

Теперь «по стуку» у нас удалённый компьютер внесётся на 1 час в список разрешённых (white_list_NAS ). Но это ещё не всё. Чтоб он смог получить доступ к web-интерфейсу Synology нужно настроить port forwarding для этого списка (white_list_NAS )

Это делается в разделе IP->Firewall во вкладке NAT . Создадим правило:

chain=dstnat protocol=tcp Dst.port=5000 Src address list=white_list_NAS action=dst-nat to addresses=192.168.3.201 to ports=5000

Теперь сделав ping определённым образом мы получим доступ к нашему NAS (рис №10)

На этом настройка закончена. Если всё правильно, то в итоге у нас в разделе IP->Firewall на вкладке Filter Rules получится картинка как на рис №11

Проверка конфигурации

Подключимся по SSH к NAS-серверу (192.168.3.201) и выполним трассировку до ПЭВМ №1 (192.168.5.100) и Dune (192.168.3.200) - рис №12

Рис №12 результаты c NAS

Видим, что при трассировке до ПЭВМ №1 пакеты идут через 192.168.3.1 и не достигают цели. А к Dune пакеты идут напрямую. При этом пинги в интернет идут нормально (в данном случае, на адрес 8.8.8.8).

А с ПЭВМ №1 (192.168.5.100) до NAS (192.168.3.201) трассировка проходит успешно (рис №13).

Рис №13 трассировка с ПЭВМ №1

А на рис №14 показано что происходит на ПЭВМ, который подключили к сети и не внесли после этого относительно него никаких правил в firewall Mikrotik. В итоге эта ПЭВМ не может взаимодействовать ни с Интернетом, ни с другими устройствами в других подсетях локальной сети.

Рис №14 результаты с нового ПЭВМ, подключенного к сети

Выводы

Нам удалось настроить нашу домашнюю сеть, сочетая удобство работы с устройствами в сети и не жертвуя при этом безопасностью. Решены следующие задачи:

  1. Настройка Mikrotik возможна по веб-интерфейсу только с ПЭВМ №1
  2. NAS Synilogy и Dune могут получать данные из Интернета, но не могут получать доступа к устройствам в других подсетях. Поэтому, даже если в их прошивках есть бекдоры для разработчиков, АНБ или кого-то ещё, всё что они смогут узнать - только друг о друге (о NAS Synilogy или Dune)
  3. Реализован безопасный удалённый доступ из любой точки интернета для установки дома на закачку для NAS Synilogy необходимого софта
  4. Несанкционировано подключенные к сети устройства имеют доступ только в рамках подсети, куда они подключены, и не могут передавать данные в Интернет.

Введение

Актуальность этой темы заключается в том, что изменения, происходящие в экономической жизни России - создание финансово-кредитной системы, предприятий различных форм собственности и т.п. - оказывают существенное влияние на вопросы защиты информации. Долгое время в нашей стране существовала только одна собственность - государственная, поэтому информация и секреты были тоже толькогосударственные, которые охранялись мощными спецслужбами. Проблемы информационной безопасности постоянно усугубляются процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего вычислительных систем. Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, программноеобеспечение и базы данных, для которых технические средства являются окружением. Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия и сетевых администраторов. По мере развития технологий платежей электронных, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит кощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано два базовых принципа информационной безопасности, которая должна обеспечивать: - целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных. - конфиденциальностьинформации и, одновременно, ее доступность для всех авторизованных пользователей. Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем, всоответствии с характером и важностью решаемых ими задач.

Если компьютер подключен к локальной сети, то, потенциально, к этому компьютеру и информации в нем можно получить несанкционированный доступ из локальной сети.

Если локальную сеть соединили с другими локальными сетями, то к возможным несанкционированным пользователям добавляются и пользователи из этих удаленных сетей. Мы не будемговорить о доступности такого компьютера из сети или каналов, через которые соединили локальные сети, потому что наверняка на выходах из локальных сетей стоят устройства, осуществляющие шифрование и контроль трафика, и необходимые меры приняты.

Если компьютер подключили напрямую через провайдера к внешней сети, например через модем к Интернет, для удаленного взаимодействия со своей локальной сетью, токомпьютер и информация в нем потенциально доступны взломщикам из Интернет. А самое неприятное, что через этот компьютер возможен доступ взломщиков и к ресурсам локальной сети.

Естественно при всех таких подключениях применяются либо штатные средства разграничения доступа операционной системы, либо специализированные средства защиты от НСД, либо криптографические системы на уровне конкретныхприложений, либо и то и другое вместе.

Однако все эти меры, к сожалению, не могут гарантировать желаемой безопасности при проведении сетевых атак, и объясняется это следующими основными причинами:

Операционные системы (ОС), особенно WINDOWS относятся к программным продуктам высокой сложности, созданием которых занимается большие коллективы разработчиков. Детальный анализ этих систем провестичрезвычайно трудно. В связи с чем, достоверно обосновать для них отсутствие штатных возможностей, ошибок или недокументированных возможностей, случайно или умышленно оставленных в ОС, и которыми можно было бы воспользоваться через сетевые атаки, не представляется возможным.

В многозадачной ОС, в частности WINDOWS, одновременно может работать много разных приложений,...

Про домашние сети уже было сказано очень много красивых слов, поэтому сразу переходим к делу.

омашняя сеть требует аккуратного и бережного к себе отношения. Она нуждается в защите от самых разных факторов, а именно:

  • от хакеров и сетевых напастей, типа вирусов и нерадивых пользователей;
  • атмосферных явлений и несовершенства бытовой электросети;
  • человеческого фактора, то есть загребущих рук.

Хотя наш журнал и компьютерный, но в этой статье мы в основном будем говорить на некомпьютерные темы. Информационную защиту рассмотрим лишь в общем, без конкретики. А вот некоторые другие аспекты заслуживают внимания, и прежде всего потому, что о них редко вспоминают.

Итак, начнем разговор с известной темы…

Загребущие руки

повать на сознательность людей не стоит - красивое оборудование с мигающими лампочками неминуемо привлекает всех, кто способен его взять. В принципе, чтобы обезопасить домашнюю сеть, можно добиться того, что все оборудование будет размещено в квартирах пользователей, но иногда возникает необходимость использовать чердак или подобное помещение. Обычно там удобно ставить роутеры, хабы, репитеры и т.п. Поставить - это не проблема. Чаще всего администрация ЖЭКов и ДЭЗов идет навстречу и дает разрешение. Главная задача заключается в том, чтобы все это хорошенько спрятать. Поскольку автор тоже является пользователем домашней сети и участвовал в ее создании, поговорим о тех решениях, которые нам показались удобными. В нашем случае оказалось довольно эффективно использовать решетчатый ящик с замком, из которого наружу выходят провода. Использовать цельный ящик с малым числом окон не стоит, поскольку компьютеру там станет жарко, особенно летом. Согласитесь, решение простое и дешевое. Тем, кто скажет, что и ящик можно утащить, отвечу: в квартиру тоже несложно залезть. То же самое касается «тарелок». С хабами последнее время возникла другая проблема: там много лампочек, вот люди и принимают их за взрывные устройства. Остаются провода: их спрятать невозможно. Поэтому риск, что их обрежут, существует. Ведь некоторые и с высоковольток снимают. А вот следующая тема - это уже некоторая претензия на образованность тех, кто прокладывает сеть.

Электрическая безопасность

десь существует несколько аспектов. Первый - стабильная работа устройств, обеспечивающих функционирование сети. Для этого необходимо хорошее электроснабжение наших домов, что, к сожалению, не всегда возможно. Имеют место скачки и перепады напряжения, запросто может случиться авария или появится необходимость на время отключить электричество. Ото всего, конечно, не защитишься, да наверняка и сеть не настолько важна, чтобы перебои в ее работе имели какие-то фатальные последствия для пользователей. Тем не менее существуют приспособления, которые могут сгладить (в прямом и переносном смысле) проблему, - это сетевые фильтры. От отключения они не спасут, а вот от скачков напряжения - вполне. Вы можете несколько улучшить шансы стабильной работы, купив несколько таких фильтров, так как их цена невысока. Следующий этап - UPS, которые, конечно, дороже, но предоставляют новые возможности. Во-первых, можно пережить короткое (конкретный срок зависит от цены) отключение питания. Во-вторых, все та же защита от скачков напряжения. Но не надо забывать, что имеется два принципиально разных вида UPS: BACK и SMART. Первые умеют только поддерживать питание, пока есть запас в батарее. Вторые могут общаться с компьютером и выключить его, чтобы избежать сбоев при неожиданном отключении. Очевидно, что для обеспечения безопасности компьютеров, стоящих на чердаках, вкладывать деньги в BACK UPS бессмысленно. Чтобы эффективно его использовать, нужно сидеть рядом с ним и при необходимости все выключать. Применение SMART UPS встает в копеечку. Здесь надо думать, что для вас дороже: перебои и возможная утрата оборудования из-за резких отключений или сотни полторы долларов за один SMART UPS.

Второй аспект - взаимодействие с обычной электрической сетью. Эта проблема возникает, когда необходимо тянуть сетевые провода в непосредственной близости от силовых кабелей. В некоторых домах этого можно избежать. Там есть хитрые дырки и ходы, куда можно просунуть провода. В нашем доме, например, таких дырок нет, и тянули мы провода по стояку рядом с телефонной линией. Скажу честно - крайне неудобно. Тянули мы витой парой, а просунуть в маленькую дырочку больше пяти проводов, не оборвав телефонной линии, крайне сложно. тем не менее это возможно. В нашем случае оставалось надеяться, что наводок не будет. Можно, конечно, купить экранированную витую пару, но она вам пригодится только в том случае, когда сетевые и силовые провода будут идти вперемешку. Вообще-то, наводки - вещь не частая, так как слишком уж разные частоты передачи сигнала. Что еще связано с силовыми проводами - так это заземление. Вещь безусловно полезная, но в старых домах заземление просто отсутствует. В нашем доме вообще ситуация аномальная: в доме электроплиты, сеть трехфазная, есть рабочий ноль, но нет земли. В принципе, возможно заземление на батарею радиатора, если, конечно, никто, кроме вас, до этого не додумался. Вот в нашем доме уже кто-то что-то заземлил - теперь у меня в квартире напряжение между трубой отопления и земляным контактом около 120 В, что очень не слабо, смею вас уверить.

И третий аспект - воздушки, или междомовые соединения. Речь идет, конечно, о сетевых проводах. Поскольку расстояния обычно немаленькие, использование витой пары затруднительно (ее ограничение - 80 м). Поэтому обычно кидают коаксиальный провод, в котором второй канал является экраном для первого. Правда, на этом экране вообще индуцируется все что угодно. Особенно опасны грозы, когда может накапливаться действительно большой заряд. К чему это приводит, очевидно: заряд попадает в сетевую карточку компьютера, стоящего на чердаке, и с огромной вероятностью гробит ее или даже весь компьютер. Для защиты от этого существуют устройства, называемые протектами, которые устанавливаются на концах проводов. Однако они тоже не совершенны, и через них порой пробивает. Имеется еще так называемый магистральный коаксиал с дополнительным экраном, никак не связанным с данными, но этот провод стоит даже дороже обычной витой пары.

А теперь переходим к основной для сетевиков проблеме - информационной безопасности.

Информационная безопасность

а мой взгляд, это самый интересный вопрос, который, однако, будет подробно освещен в других статьях этого спецвыпуска.

При более-менее приличном количестве пользователей сеть имеет свой почтовый сервер, DNS, очень часто - собственную страничку. Таким образом, провайдеру остается только канал и общая статистика. Тип канала может быть любой - радио или оптоволокно, что не существенно. Существенно построение сети.

Первая проблема - это взаимоотношение пользователей. Пока вы объединяетесь с друзьями в одном доме - это еще ничего. Вы друг друга знаете, и, что называется, люди не случайные. Вы вместе играете по сети, обмениваетесь файлами, выкладываете на свои сетевые диски на всеобщее обозрение интересные программы и т.д. Когда же сеть расширяется, то появляются новые люди, новые интересы. Некоторые откровенно начинают проверять свои хакерские способности. Вы скажете, что это надо пресекать в корне, отключать пожизненно и т.д. и т.п. Все правильно - наказывать надо, но нужно уметь и отражать подобные атаки. Попросту вы должны быть готовы к тому, что кто-то и изнутри может подложить свинью. Иногда это случается не по вине пользователя, точнее, не по прямой его вине (может, у него появился вирус, который портит жизнь соседям), но в любом случае возможность такой ситуации нельзя не учитывать.

Вторая проблема - это руководство, то есть «админы». Хотя сеть и простая, админы должны быть. При этом не стоит думать, что это может быть любой человек, хоть немного понимающий в UNIX. Это серьезная работа, которую нужно выполнять: следить за сетью, быстро реагировать на неисправности. Ну и, конечно, нужно разбираться в администрировании: уметь грамотно наладить шлюз, firewall, организовать статистику, почту и, может быть, что-то еще. Все это должно работать стабильно и быстро. Плюс к тому у руководства сети появляется и финансовая ответственность. Им платят деньги за работу сети. И логично, что люди рассчитывают получить за эти деньги нормальную качественную связь. Ситуация особенно обостряется, когда пользователей становится много. Не все могут с пониманием отнестись к тому, что админов, скажем, три, пользователей 150, а авария вообще у внешнего провайдера.

Третья проблема - это статистика. Организовать ее несложно. Программ, осуществляющих биллинг, то есть работу со счетами, а в нашем случае - учет трафика, довольно много. Установить такую программу, разобраться с ее работой и начать считать каждый байт - дело нехитрое. Нужно только не забывать делать резервные копии. Желательно каждый день. хорошо бы делать такие копии со всех материалов и файлов, являющихся достоянием всей сети, однако особенно важной представляется информация о пользователях и их статистика.

И наконец, непосредственно информация. Во-первых - это шлюз. Надо сконфигурировать на нем firewall так, чтобы сеть была реально безопасной. Для этого нужно пропускать только свои пакеты, проверять, что происходит внутри сети, естественно, следить за попытками вторжения и постоянно обновлять систему. Во-вторых - это почта. Хорошо бы проверять почту на наличие вирусов сразу по ее приходу на почтовый сервер сети. Это может избавить от многих хлопот в дальнейшем. Если пользователи невнимательные и настройки их браузеров позволяют вирусам проникать в компьютер, то такая проверка обезопасит как самих этих пользователей, так и их соседей - если вирус сам распространяется по сети. В-третьих - это возможности пользователей. Нужно разрешать только то, что необходимо. Я имею в виду сетевые порты. Чем меньше их открыто, тем проще следить за происходящим в сети. Если открыты игровые порты или еще какие-либо нерабочие, то разумно делать их доступными только внутри сети.

С этой проблемой тесно связана проблема создания пользователями собственных ресурсов, например Web-серверов. Кажется логичным, что пользователь может поднять свой сервер на собственном компьютере. Однако тем самым создаются новые возможности для неугомонных хакеров. Нужно ли вам это? Может быть. Но в этом случае вы как администратор должны либо следить за компьютером этого пользователя, либо доверять опыту поднявшего свой сервер абонента.

Вот, пожалуй, и все, к чему хотелось привлечь ваше внимание. Нужно подчеркнуть еще раз, что сеть, в том числе и домашняя, - это не только компьютеры, порты и хакеры. Это еще, банальные сложности в отношениях с людьми, проблема сохранности оборудования, физическая и электрическая безопасность. Многие об этом не задумываются, так как просто привыкли видеть уже готовую инфраструктуру в офисе или где-либо еще, хотя уже при создании домашней сети начинают возникать вопросы. То, о чем здесь рассказано, частично имело место и при создании сети в нашем районе. Поэтому многие вопросы хорошо знакомы автору. Возможно, это попытка предостеречь других от ошибок, которые мы сами допустили или которых нам удалось избежать благодаря «старшим товарищам», уже имевшим определенный опыт.

КомпьютерПресс 3"2002