Con la difusión del acceso a Internet de banda ancha y los dispositivos de bolsillo, los enrutadores inalámbricos (enrutadores) se han vuelto extremadamente populares. Dichos dispositivos son capaces de transmitir una señal a través del protocolo Wi-Fi tanto a computadoras estacionarias como a dispositivos móviles (teléfonos inteligentes y tabletas), mientras que el ancho de banda del canal es suficiente para conectar simultáneamente a varios consumidores.
Hoy en día, hay un enrutador inalámbrico en casi cualquier hogar donde esté instalado Internet de banda ancha. Sin embargo, no todos los propietarios de dichos dispositivos piensan en el hecho de que, con la configuración predeterminada, son extremadamente vulnerables a los intrusos. Y si cree que no está haciendo nada en Internet que pueda dañarlo, piense en el hecho de que al interceptar la señal de la red inalámbrica local, los piratas informáticos pueden acceder no solo a su correspondencia personal, sino también a su cuenta bancaria, oficial. documentos y cualquier otro archivo.
Es posible que los piratas informáticos no se limiten a examinar únicamente la memoria de sus propios dispositivos: su contenido puede sugerir pistas sobre las redes de su empresa, sus familiares y amigos, hasta los datos de varios sistemas de información comerciales y gubernamentales. Además, a través de su red y en su nombre, los atacantes pueden realizar ataques masivos, piratear, distribuir ilegalmente archivos multimedia y software y participar en otras actividades delictivas.
Mientras tanto, para protegerse de tales amenazas, debe seguir solo algunas reglas simples que sean comprensibles y accesibles incluso para aquellos que no tienen conocimientos especiales en el campo de las redes informáticas. Le invitamos a familiarizarse con estas reglas.
1. Cambiar los detalles de administrador predeterminados
Para acceder a la configuración de su enrutador, debe ir a su interfaz web. Para hacer esto, necesita conocer su dirección IP en la red de área local (LAN), así como el nombre de usuario y la contraseña del administrador.
La dirección IP interna predeterminada del enrutador, por regla general, es 192.168.0.1, 192.168.1.1, 192.168.100.1 o, por ejemplo, 192.168.123.254; siempre se indica en la documentación del hardware. El inicio de sesión y la contraseña predeterminados generalmente también se informan en la documentación, o se pueden obtener del fabricante del enrutador o de su proveedor de servicios.
Ingrese la dirección IP del enrutador en la barra de direcciones del navegador y, en la ventana que aparece, ingrese el nombre de usuario y la contraseña. La interfaz web del enrutador se abrirá frente a nosotros con una amplia variedad de configuraciones.
Un elemento clave de la seguridad de la red doméstica es la capacidad de cambiar la configuración, así que asegúrese de cambiar todos los datos predeterminados del administrador, ya que pueden usarse en decenas de miles de instancias de los mismos enrutadores que usted. Encontramos el elemento apropiado e ingresamos nuevos datos.
En algunos casos, el proveedor de servicios bloquea la capacidad de cambiar arbitrariamente los datos del administrador, y luego deberá comunicarse con ellos para obtener ayuda.
2. Establecer o cambiar contraseñas para el acceso LAN
Te reirás, pero todavía hay casos en los que un generoso propietario de un enrutador inalámbrico organiza un punto de acceso abierto al que cualquiera puede conectarse. Con mucha más frecuencia, se eligen pseudo-contraseñas como "1234" o algunas palabras banales especificadas durante la instalación de la red para la red doméstica. Para minimizar la posibilidad de que alguien pueda ingresar fácilmente a su red, debe crear una contraseña realmente larga de letras, números y símbolos, y establecer el nivel de cifrado de la señal, preferiblemente WPA2.
3. Deshabilitar WPS
La tecnología WPS (Configuración protegida de Wi-Fi) le permite establecer rápidamente una conexión inalámbrica segura entre dispositivos compatibles sin configuraciones detalladas, pero solo presionando los botones apropiados en el enrutador y el dispositivo o ingresando un código digital.
Mientras tanto, este conveniente sistema, generalmente habilitado por defecto, tiene un punto débil: dado que WPS no cuenta la cantidad de intentos de ingresar el código incorrecto, puede ser pirateado por "fuerza bruta" mediante una simple enumeración utilizando las utilidades más simples. Tomará de varios minutos a varias horas penetrar su red a través del código WPS, luego de lo cual no será difícil calcular la contraseña de la red.
Por lo tanto, encontramos el elemento correspondiente en el "panel de administración" y deshabilitamos WPS. Desafortunadamente, hacer cambios en la configuración no siempre deshabilitará WPS, y algunos fabricantes no ofrecen esa opción en absoluto.
4. Cambiar el nombre del SSID
El SSID (Service Set Identifier) es el nombre de su red inalámbrica. Es él quien es “recordado” por varios dispositivos que, al reconocer el nombre y tener las contraseñas necesarias, intentan conectarse a la red local. Entonces, si mantiene el nombre predeterminado establecido por, por ejemplo, su ISP, existe la posibilidad de que sus dispositivos intenten conectarse a muchas redes cercanas con el mismo nombre.
Además, un enrutador que transmite un SSID estándar es más vulnerable a los piratas informáticos, quienes conocerán aproximadamente su modelo y la configuración habitual, y podrán detectar debilidades específicas en dicha configuración. Por lo tanto, elija un nombre que sea lo más único posible, que no diga nada sobre el proveedor de servicios o el fabricante del equipo.
Al mismo tiempo, el consejo que se encuentra a menudo para ocultar la transmisión SSID, y esta opción es estándar para la gran mayoría de los enrutadores, es en realidad insostenible. El hecho es que todos los dispositivos que intenten conectarse a su red, en cualquier caso, pasarán por los puntos de acceso más cercanos y pueden conectarse a redes especialmente "colocadas" por intrusos. En otras palabras, al ocultar el SSID, solo te complicas la vida.
5. Cambiar la IP del enrutador
Para dificultar aún más el acceso no autorizado a la interfaz web del enrutador y su configuración, cambie la dirección IP interna predeterminada (LAN) en ellos.
6. Deshabilitar la administración remota
Para la comodidad del soporte técnico (principalmente) en muchos enrutadores domésticos, se implementa una función de administración remota, con la ayuda de la cual la configuración del enrutador está disponible a través de Internet. Por tanto, si no queremos penetración desde el exterior, es mejor desactivar esta función.
Al mismo tiempo, sin embargo, sigue siendo posible ingresar a la interfaz web a través de Wi-Fi si el atacante está en el campo de su red y conoce el nombre de usuario y la contraseña. Algunos enrutadores tienen una función para restringir el acceso al panel solo cuando hay una conexión por cable, sin embargo, desafortunadamente, esta opción es bastante rara.
7. Actualizar firmware
Cada fabricante de enrutadores que se respeta a sí mismo y a sus clientes mejora constantemente el software de su equipo y lanza regularmente versiones actualizadas de firmware ("firmware"). En las últimas versiones, en primer lugar, se corrigen las vulnerabilidades descubiertas, así como los errores que afectan a la estabilidad de la obra.
Tenga en cuenta que después de la actualización, es posible que todas las configuraciones que haya realizado se restablezcan a las configuraciones de fábrica, por lo que tiene sentido hacer una copia de seguridad de ellas, también a través de la interfaz web.
8. Muévete a la banda de 5 GHz
El rango básico de las redes Wi-Fi es de 2,4 GHz. Proporciona una recepción fiable en la mayoría de los dispositivos existentes a una distancia de hasta unos 60 m en interiores y hasta 400 m en exteriores. Cambiar a la banda de 5 GHz reducirá el rango de comunicación de dos a tres veces, lo que limitará la capacidad de los extraños para penetrar en su red inalámbrica. Debido a la menor ocupación de la banda, también puede notar una mayor velocidad de transferencia de datos y estabilidad de la conexión.
Esta solución solo tiene una desventaja: no todos los dispositivos funcionan con Wi-Fi del estándar IEEE 802.11ac en la banda de 5 GHz.
9. Deshabilite las funciones PING, Telnet, SSH, UPnP y HNAP
Si no sabe qué hay detrás de estas abreviaturas y no está seguro de que definitivamente necesitará estas funciones, búsquelas en la configuración del enrutador y desactívelas. Si es posible, en lugar de cerrar puertos, seleccione el modo oculto, que, al intentar acceder a ellos desde el exterior, hará que estos puertos sean "invisibles", ignorando las solicitudes y los "pings".
10. Encienda el firewall del enrutador
Si su enrutador tiene un firewall incorporado, le recomendamos que lo habilite. Por supuesto, esto no es un bastión de protección absoluta, pero en combinación con herramientas de software (incluso con el firewall integrado en Windows), es capaz de resistir los ataques de manera bastante adecuada.
11. Desactive el filtrado de direcciones MAC
Aunque a primera vista parece que la posibilidad de conectar a la red únicamente dispositivos con direcciones MAC específicas garantiza por completo la seguridad, en realidad no es así. Además, hace que la red esté abierta incluso a los piratas informáticos sin muchos recursos. Si un atacante puede rastrear los paquetes entrantes, obtendrá rápidamente una lista de direcciones MAC activas, ya que se transmiten sin cifrar en el flujo de datos. Y cambiar la dirección MAC no es un problema incluso para un no profesional.
12. Cambiar a un servidor DNS diferente
En lugar de usar el servidor DNS de su ISP, puede cambiar a alternativas como Google Public DNS u OpenDNS. Por un lado, esto puede acelerar la entrega de páginas de Internet y, por otro lado, aumentar la seguridad. Por ejemplo, OpenDNS bloquea virus, botnets y solicitudes de phishing en cualquier puerto, protocolo y aplicación, y gracias a algoritmos especiales basados en Big Data, puede predecir y prevenir una variedad de amenazas y ataques. Al mismo tiempo, Google Public DNS es solo un servidor DNS de alta velocidad sin funciones adicionales.
13. Instalar "firmware" alternativo
Y finalmente, un paso radical para alguien que entiende lo que está haciendo es instalar firmware escrito no por el fabricante de su enrutador, sino por entusiastas. Como regla general, dicho "firmware" no solo amplía la funcionalidad del dispositivo (generalmente agrega soporte para funciones profesionales como QoS, modo puente, SNMP, etc.), sino que también lo hace más resistente a las vulnerabilidades, incluso debido a no -estándar.
Entre los populares "firmware" de código abierto se encuentran los basados en Linux
Anteriormente, muchos podían controlar de alguna manera la presencia de uno o dos dispositivos en su red, pero ahora los usuarios tienen cada vez más dispositivos. Esto dificulta un control fiable.
El desarrollo de la tecnología y las telecomunicaciones provoca un rápido aumento en los hogares de usuarios de todo tipo de dispositivos que pueden funcionar con Internet. Los usuarios están dispuestos a comprar dispositivos que interactúan con Internet para escuchar radio por Internet, descargar música, películas, software, libros electrónicos y otras actividades. Y si antes muchos podían controlar de alguna manera la presencia de uno o dos dispositivos en su red, ahora los usuarios tienen cada vez más dispositivos. Esto dificulta un control fiable. Sobre todo cuando la familia está formada por varios usuarios que consiguen conectar dispositivos a la red sin ponerse de acuerdo entre sí. La falta de conocimiento en el campo de la configuración competente de la red doméstica conduce al hecho de que los usuarios pueden ser espiados desde Internet en contra de su voluntad (http://habrahabr.ru/post/189674/). O viceversa: los usuarios pierden la capacidad de monitorear de forma remota a través de Internet lo que sucede en el campo de visión de sus cámaras IP debido a Robin Hoods.
Con este artículo, idealmente, me gustaría aumentar la alfabetización de la población en el área de la voz. Como mínimo, espero que mi experiencia les ahorre tiempo y esfuerzo a aquellos que han pensado durante mucho tiempo en lidiar con la anarquía digital en su red doméstica. Y, tal vez, sea útil para aquellos que están pensando en cómo organizar adecuadamente su cine en casa.
Inicialmente, me enfrenté a la situación de que la lista de equipos en mi casa que necesitan Internet llegó:
- 2 PC (mío y padres)
- teléfono móvil
- Equipo de cine en casa (Synology NAS Server, Dune Media Player)
- tableta
Pero al final, pude matar dos pájaros de un tiro. Me detuve en el enrutador letón Mikrotik 751G-2HnD. No causó mucho daño a mi billetera (al igual que mi alegría por el dispositivo adquirido). Y fue capaz de cubrir todas mis necesidades. De cara al futuro, diré que mi experiencia con esta pieza de hardware fue tan buena que compré su hermano mayor Mikrotik 951G-2HnD en la oficina.
El diagrama de conexión general para todos los dispositivos se muestra en la Fig. 1.
Fig No. 1 Esquema general para conectar dispositivos en mi red doméstica
Agregaré algunas explicaciones a la imagen. La televisión en sí no se comunica con Internet. Simplemente porque no tiene un cable Ethernet (se compró hace mucho tiempo). Se conecta con un cable HDMI a un reproductor multimedia (Dune HD Smart D1). Y ahora Dune puede transmitir video en la televisión. A pesar de algo de almacenamiento de datos de Dune y compatibilidad con medios extraíbles (así como la presencia de un cliente torrent integrado). Se utiliza únicamente como reproductor multimedia. Y ya se utiliza Synology DS212j como almacenamiento de música, películas. También tiene un plugin para trabajar con redes Torrent. Una carpeta compartida está configurada en este dispositivo, desde donde Dune recibe archivos multimedia para su visualización. Dune y Synology se conectan mediante la conexión a un conmutador normal (marcado como Conmutador en la imagen). No necesitaba ninguna función del conmutador, así que compré el primer conmutador de 4 puertos que encontré.
El conmutador y ambas PC están conectados a diferentes puertos Mikrotik. Debo decir que mis padres trabajaron seriamente en un momento en el tema de la disponibilidad de Internet en diferentes partes del apartamento en la etapa de reparación. Por lo tanto, los cables Ethernet se colocan en casi todas las habitaciones de las paredes. Entonces, físicamente, el equipo está disperso en diferentes salas. Y el cable Ethernet no se ve en el suelo, el techo o las paredes (que a menudo se pueden encontrar en otros apartamentos). Aunque, en algunos rincones, todavía no hay suficiente cableado. Por lo tanto, aconsejo a las futuras familias jóvenes que reflexionen sobre este tema con especial cuidado. Después de todo, Wi-Fi no siempre es una buena solución. Pero en general, todo está bellamente conectado.
Entonces, la estructura de la red es clara, comencemos con la configuración de Mikrotik
Los primeros pasos: somos amigos de Internet Mikrotik.
Configurar Mikrotik con RouterOS v6.x no tiene problemas. A través de WebFig, en la pestaña Quick Set (Fig. 2), configure la dirección IP emitida por el proveedor (según sus condiciones, registre estáticamente o configure DHCP para recibir automáticamente). Si es necesario, puede cambiar la dirección MAC del puerto WAN (si el proveedor vincula la emisión de IP a la dirección MAC de uno de sus dispositivos, por ejemplo, el enrutador anterior). Marque las casillas como se muestra en la Figura 2
Fig No. 2 primeros pasos de configuración
Para el caso de la versión de RouterOS< 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.
Configuración de red - teoría
Figura 3: la imagen final, a la que traje la red.
Fig No. 3 Configuración final de la red
Primero, le diré lo que configuré y luego iremos directamente a la configuración. La activación de puertos está configurada en Mikrotik, lo que le permite abrir de forma segura el acceso desde Internet para administrar Synology NAS a través de un navegador durante un tiempo determinado. De repente, quieres poner algo en el salto, para que ya puedas descargarlo cuando regreses a casa.
El conmutador está conectado al puerto 3 del enrutador. Por lo tanto, para facilitar el recuerdo, las direcciones de la subred 192.168.3.x se envían a toda la red en este puerto.
La dirección IP de Mikrotik para la gestión a través de la interfaz web es 192.168.5.1.
La PC #1 (192.168.5.100) está conectada al puerto 5 del enrutador. Se le permite acceder a Internet, a todos los dispositivos en la red y a Mikrotik, para configurarlo.
La PC #2 (192.168.4.100) está conectada al puerto 4 del enrutador. Se le permite acceder a Internet, a todos los dispositivos de la red, a excepción de Mikrotik (el rey debe estar solo).
NAS Synology, Dune: permite acceder a la red 192.168.3.x e Internet. Todo lo demás está prohibido.
Los dispositivos móviles reciben una dirección de la red 192.168.88.xy pueden comunicarse con Internet y otros dispositivos móviles. La comunicación con otras subredes está prohibida. La red inalámbrica está encriptada con WPA2.
En general, Mikrotik admite Radius para la autorización de dispositivos en la red. El mismo Synology se puede utilizar como servidor Radius. Pero no lo configuré así. Todos los dispositivos desconocidos para el enrutador no podrán comunicarse con Internet. Esto ayudará a evitar situaciones como ver televisión a los usuarios.
Es muy deseable que la PC que controla Mikrotik (en mi caso es la PC No. 1) se conecte directamente a Mikrotik, sin interruptores. Esto es útil para evitar la intercepción de los parámetros de acceso del administrador (usando un ataque de intermediario, usando las funciones del protocolo ARP) cuando se trabaja con Mikrotik a través de la interfaz web. De hecho, de forma predeterminada, la interfaz web de Mikrotik pasa por HTTP, que está abierto para el análisis. Mikrotik tiene la capacidad de cambiar a HTTPS. Sin embargo, esto está más allá del alcance de este artículo, porque es una tarea separada no trivial (para administradores novatos de Mikrotik).
Ahora que hemos descubierto lo que queremos lograr, es hora de pasar a la parte práctica.
Configuración de red - práctica
Nos conectamos a Mikrotik a través de la interfaz web. en el capitulo IP->Pool establecer el rango de emisión de direcciones IP para la red 192.168.3.x (Fig. 4)
en el capitulo IP->Servidor DHCP pestaña DHCP presiona el botón Agregar nuevo y enlace al puerto físico número 3 Ethernet ( ether3-esclavo-local ) el grupo de emisión de direcciones creado previamente ( piscina3 ) (arroz nº 5)
en el capitulo IP->Rutas escribamos la ruta para la nueva red (Fig. 7):
en el capitulo Interfaces elegir ether3-esclavo-local y cambiar el valor del parámetro Puerto maestro sobre el ninguna (foto nº 8)
en el capitulo IP->Direcciones crear una puerta de enlace 192.168.3.1 para la red 192.168.3.0/24 para el puerto ether3-esclavo-local (arroz nº 9)
Todas las demás subredes en los puertos físicos restantes de Mikrotik se configuran de la misma manera.
La subred ha sido creada. Ahora los dispositivos conectados al puerto Ethernet #3 pueden funcionar con Internet y otras subredes de la red doméstica. Es hora de permitir lo que necesitamos y prohibir todo lo que no está permitido en la sección. IP->Cortafuegos pestaña Reglas de filtrado .
Usando el botón Agregar nuevo crear las siguientes reglas:
Creamos reglas que permiten acceder a Mikrotik desde la PC No. 1 ( 192.168.5.1 ), prohibimos el resto
Cadena = entrada Src.address = 192.168.5.100 Dst.address = 192.168.5.1 Acción = aceptar
Cadena = entrada Acción = soltar
Permitimos que el dispositivo Synology NAS se “comuníque” solo con Internet, excluimos la red local (192.168.0.0/16):
Chain= reenviar Src.address =192.168.3.201 Dst.address = !192.168.0.0/16 Action= aceptar
Configuraciones similares para el reproductor multimedia Dune:
Cadena = reenviar Src.address = 192.168.3.200 Dst.address = !192.168.0.0/16 Acción = aceptar
Permitimos que ambas PC se “comuniquen” con Internet y todas las subredes de la red doméstica:
Cadena = reenviar Src.address = 192.168.5.100 Dst.address = 0.0.0.0/0 Acción = soltar
Cadena = reenviar Src.address = 192.168.4.100 Dst.address = 0.0.0.0/0 Acción = soltar
Permitimos que los dispositivos de la red 192.168.3.x (donde NAS Synology y Dune) establezcan conexiones iniciadas por la PC No. 1
Cadena = reenviar Src.address = 192.168.3.0/24 Dst.address = 192.168.5.100 Estado de conexión = establecido, Acción = aceptar
Para todos los demás, prohibimos el tráfico saliente a Internet y en la subred de nuestra red:
Cadena = reenviar Src.address = 192.168.0.0/16 Dst.address = 0.0.0.0/0 Acción = soltar
Para implementar la activación de puertos, siga las siguientes reglas:
chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_128_stage1 address-list=white_list_NAS address-list-timeout=1h in-inter package-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage2 address-list=ICMP_SSH_128_stage1 address-list-timeout=1m in-inter package-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage1 address-list=ICMP_SSH_98_stage2 address-list-timeout=1m in-inter package-size=98
Chain=input action=add-src-to-address-list protocol=icmp address-list=ICMP_SSH_98_stage1 address-list-timeout=1m in-inter package-size=98
A quién le importa por qué está escrito de esta manera, pueden leer (http://habrahabr.ru/post/186488/)
Ahora, "en un golpe", nuestra computadora remota se agregará a la lista de permitidos durante 1 hora ( lista_blanca_NAS). Pero eso no es todo. Para que pueda acceder a la interfaz web de Synology, debe configurar el reenvío de puertos para esta lista ( lista_blanca_NAS)
Esto se hace en la sección IP->Cortafuegos pestaña NAT . Vamos a crear una regla:
chain=dstnat protocol=tcp Dst.port=5000 Src address list=white_list_NAS action=dst-nat a direcciones=192.168.3.201 a puertos=5000
Ahora, haciendo ping de cierta manera, obtendremos acceso a nuestro NAS (Fig. 10)
Esto completa la configuración. Si todo es correcto, al final tenemos en la secciónIP->Cortafuegos pestaña Reglas de filtrado obtienes una imagen como en la Fig. 11
Comprobación de configuración
Conectémonos vía SSH al servidor NAS (192.168.3.201) y rastreemos a la PC No. 1 (192.168.5.100) y Dune (192.168.3.200) - Fig. No. 12
Figura #12 resultados de NAS
Vemos que al rastrear a la PC No. 1, los paquetes pasan por 192.168.3.1 y no llegan al destino. Y los paquetes van directamente a Dune. Al mismo tiempo, los pings a Internet van normalmente (en este caso, a la dirección 8.8.8.8).
Y desde la PC n.° 1 (192.168.5.100) hasta el NAS (192.168.3.201), el seguimiento es exitoso (Figura n.° 13).
Trazado de la figura N° 13 con PC N° 1
Y la Fig. 14 muestra lo que sucede en una PC que estaba conectada a la red y después de eso no se establecieron reglas al respecto en el firewall de Mikrotik. Como resultado, esta PC no puede comunicarse con Internet ni con otros dispositivos en otras subredes de la red local.
Fig No. 14 resultados de una nueva PC conectada a la red
conclusiones
Pudimos configurar nuestra red doméstica, combinando la conveniencia de trabajar con dispositivos en la red sin sacrificar la seguridad. Se han resuelto las siguientes tareas:
- La configuración de Mikrotik es posible a través de la interfaz web solo con la PC No. 1
- Synilogy NAS y Dune pueden recibir datos de Internet, pero no pueden acceder a dispositivos en otras subredes. Por lo tanto, incluso si su firmware tiene puertas traseras para los desarrolladores, la NSA o cualquier otra persona, todo lo que pueden aprender es solo sobre los demás (sobre NAS Synilogy o Dune)
- Acceso remoto seguro implementado desde cualquier lugar de Internet para instalar en casa para descargar el software necesario para NAS Synilogy
- Los dispositivos no autorizados conectados a la red solo tienen acceso dentro de la subred a la que están conectados y no pueden transmitir datos a Internet.
Ya se han dicho muchas palabras bonitas sobre las redes domésticas, así que pongámonos manos a la obra de inmediato.
La red doméstica requiere una actitud cuidadosa y cuidadosa. Necesita protección contra una variedad de factores, a saber:
- de piratas informáticos y desgracias de la red, como virus y usuarios negligentes;
- fenómenos atmosféricos e imperfecciones de la red eléctrica domiciliaria;
- el factor humano, es decir, agarrar las manos.
Aunque nuestra revista es informática, en este artículo hablaremos principalmente de temas no informáticos. Consideraremos la protección de la información solo en general, sin detalles. Pero algunos otros aspectos merecen atención, y sobre todo porque rara vez se mencionan.
Entonces, comencemos la conversación con un tema muy conocido...
agarrando las manos
no vale la pena culpar a la conciencia de las personas: los hermosos equipos con luces intermitentes inevitablemente atraen a todos los que pueden tomarlos. En principio, para asegurar una red doméstica, todos los equipos se pueden colocar en los apartamentos de los usuarios, pero a veces se hace necesario utilizar un ático o una habitación similar. Por lo general, es conveniente instalar allí enrutadores, concentradores, repetidores, etc. La publicación no es un problema. La mayoría de las veces, la administración de ZhEK y DEZ se reúne a mitad de camino y da permiso. La tarea principal es ocultarlo todo bien. Dado que el autor también es usuario de una red doméstica y participó en su creación, hablemos de las soluciones que nos parecieron convenientes. En nuestro caso, resultó ser bastante efectivo usar una caja de celosía con cerradura, de la cual salen los cables. No debe usar una caja de una sola pieza con una pequeña cantidad de ventanas, ya que la computadora se calentará allí, especialmente en verano. De acuerdo, la solución es simple y barata. A aquellos que dicen que la caja se puede arrastrar, les responderé: también es fácil ingresar al apartamento. Lo mismo ocurre con los "platos". Recientemente, ha surgido otro problema con los concentradores: hay muchas bombillas, por lo que la gente las toma por artefactos explosivos. Los cables permanecen: es imposible ocultarlos. Por lo tanto, existe el riesgo de que se corten. Después de todo, algunas personas toman fotografías desde dispositivos de alto voltaje. Pero el siguiente tema ya es algún reclamo a la educación de quienes están tendiendo la red.
seguridad ELECTRICA
Aquí hay varios aspectos. El primero es el funcionamiento estable de los dispositivos que aseguran el funcionamiento de la red. Esto requiere un buen suministro de energía a nuestros hogares, lo que, lamentablemente, no siempre es posible. Hay picos y caídas de energía, un accidente puede ocurrir fácilmente o será necesario cortar la electricidad por un tiempo. Por supuesto, no puede protegerse de todo, y seguro que la red no es tan importante como para que las interrupciones en su trabajo tengan consecuencias fatales para los usuarios. Sin embargo, existen dispositivos que pueden suavizar (literal y figurativamente) el problema: estos son los filtros de red. No lo salvarán de un apagón, sino completamente de subidas de tensión. Puede mejorar ligeramente las posibilidades de un funcionamiento estable comprando varios de estos filtros, ya que su precio es bajo. La siguiente etapa es UPS, que, por supuesto, es más costosa, pero brinda nuevas oportunidades. Primero, es posible sobrevivir a un breve corte de energía (la duración específica depende del precio). En segundo lugar, la misma protección contra sobretensiones. Pero no debemos olvidar que existen dos tipos de SAI fundamentalmente diferentes: BACK y SMART. El primero solo puede mantener la energía mientras haya una reserva en la batería. Este último puede comunicarse con la computadora y apagarla para evitar bloqueos durante un apagado inesperado. Obviamente, para garantizar la seguridad de las computadoras en los áticos, no tiene sentido invertir en BACK UPS. Para usarlo de manera efectiva, debe sentarse junto a él y apagar todo si es necesario. El uso de SMART UPS cuesta bastante dinero. Aquí tienes que pensar en lo que te sale más caro: las interrupciones y la posible pérdida de equipos por apagones repentinos o cientos y medio de dólares por un SMART UPS.
El segundo aspecto es la interacción con una red eléctrica convencional. Este problema surge cuando es necesario tirar de los cables de la red muy cerca de los cables de alimentación. En algunas casas esto se puede evitar. Hay agujeros y pasajes complicados donde puedes pegar los cables. En nuestra casa, por ejemplo, no hay tales agujeros, y tiramos de los cables a lo largo del elevador al lado de la línea telefónica. Para ser honesto, es extremadamente inconveniente. Tiramos con un cable de par trenzado, y es extremadamente difícil poner más de cinco cables en un pequeño agujero sin romper la línea telefónica. sin embargo es posible. En nuestro caso, era de esperar que no hubiera interferencias. Por supuesto, puede comprar un cable de par trenzado blindado, pero solo será útil si la red y los cables de alimentación están mezclados. De hecho, la interferencia no es algo frecuente, ya que las frecuencias de transmisión de la señal son demasiado diferentes. Lo que más está conectado con los cables de alimentación es la conexión a tierra. La cosa es ciertamente útil, pero en las casas antiguas simplemente no hay conexión a tierra. En nuestra casa, en general, la situación es anómala: en la casa hay cocinas eléctricas, red trifásica, hay cero funcionando, pero no hay tierra. En principio, la conexión a tierra de la batería del radiador es posible, a menos que, por supuesto, nadie más que usted haya pensado en esto antes. En nuestra casa, alguien ya ha puesto a tierra algo; ahora, en mi departamento, el voltaje entre la tubería de calefacción y el contacto de tierra es de aproximadamente 120 V, que no es muy débil, me atrevo a asegurarles.
Y el tercer aspecto es el aire, o conexiones entre casas. Estamos hablando, por supuesto, de cables de red. Dado que las distancias suelen ser bastante grandes, el uso del par trenzado es difícil (su limitación es de 80 m). Por eso, suelen tirar un cable coaxial en el que el segundo canal es una pantalla para el primero. Es cierto que en esta pantalla se induce cualquier cosa. Las tormentas eléctricas son especialmente peligrosas cuando se puede acumular una carga realmente grande. Lo que esto conduce es obvio: el cargo ingresa a la tarjeta de red de la computadora en el ático y, con una alta probabilidad, la arruina o incluso la computadora completa. Para protegerse contra esto, existen dispositivos llamados protectores que se instalan en los extremos de los cables. Sin embargo, tampoco son perfectos y, a veces, los rompen. También existe el llamado coaxial troncal con una pantalla adicional que no está relacionada con los datos de ninguna manera, pero este cable es incluso más costoso que un par trenzado normal.
Y ahora pasamos al problema principal para los usuarios de redes: la seguridad de la información.
Seguridad de información
y en mi opinión, esta es la pregunta más interesante, que, sin embargo, será tratada en detalle en otros artículos de este número especial.
Con un número más o menos decente de usuarios, la red tiene su propio servidor de correo, DNS, muy a menudo, su propia página. Así, el proveedor se queda solo con el canal y las estadísticas generales. El tipo de canal puede ser cualquiera, radio o fibra, que no es imprescindible. La creación de redes es esencial.
El primer problema es la relación con el usuario. Mientras te reúnas con amigos en la misma casa, esto no es nada. Se conocen y, como dicen, las personas no son aleatorias. Juegan juntos en la red, intercambian archivos, publican programas interesantes en sus unidades de red para que todos los vean, etc. Cuando la red se expande, aparecen nuevas personas, nuevos intereses. Algunos, francamente, comienzan a probar sus habilidades de piratería. Dirás que esto debe cortarse de raíz, apagarse de por vida, etc. etc. Todo es correcto: es necesario castigar, pero debes poder repeler tales ataques. Simplemente, debe estar preparado para el hecho de que alguien desde adentro puede plantar un cerdo. A veces esto sucede sin culpa del usuario, más precisamente, no por su culpa directa (tal vez tiene un virus que arruina la vida de sus vecinos), pero en cualquier caso, no se puede ignorar la posibilidad de tal situación.
El segundo problema es la gestión, es decir, los "admins". Aunque la red es simple, debe haber administradores. Al mismo tiempo, no debe pensar que puede ser cualquier persona que entienda al menos un poco sobre UNIX. Este es un trabajo serio que debe hacerse: monitorear la red, responder rápidamente a los fallos de funcionamiento. Y, por supuesto, debe comprender la administración: ser capaz de configurar correctamente una puerta de enlace, un firewall, organizar estadísticas, correo y tal vez algo más. Todo esto debería funcionar de manera estable y rápida. Además, la gestión de la red también tiene responsabilidad financiera. Se les paga dinero para operar la red. Y es lógico que la gente espere obtener una conexión normal de alta calidad por este dinero. La situación se agrava especialmente cuando hay muchos usuarios. No todos pueden simpatizar con el hecho de que hay, digamos, tres administradores, 150 usuarios y un proveedor externo tiene un accidente en general.
El tercer problema son las estadísticas. Es fácil de organizar. Hay bastantes programas que realizan la facturación, es decir, trabajan con cuentas y, en nuestro caso, la contabilidad del tráfico. Instalar un programa de este tipo, comprender su funcionamiento y comenzar a contar cada byte es un asunto simple. Solo recuerda hacer copias de seguridad. Preferiblemente todos los días. Sería bueno hacer tales copias de todos los materiales y archivos que son propiedad de toda la red, pero la información sobre los usuarios y sus estadísticas es especialmente importante.
Y por último, directamente la información. En primer lugar, es una puerta de enlace. Es necesario configurar el firewall en él para que la red sea realmente segura. Para hacer esto, debe pasar solo sus paquetes, verificar lo que sucede dentro de la red, por supuesto, monitorear los intentos de intrusión y actualizar constantemente el sistema. En segundo lugar, es el correo. Sería bueno revisar el correo en busca de virus tan pronto como llegue al servidor de correo de la red. Esto puede ahorrarle muchos problemas más adelante. Si los usuarios no prestan atención y la configuración de su navegador permite que los virus ingresen a la computadora, dicha verificación protegerá tanto a estos usuarios como a sus vecinos, si el virus se propaga por la red. El tercero es la experiencia del usuario. Permitir solo lo necesario. Me refiero a los puertos de red. Cuantos menos estén abiertos, más fácil será seguir lo que sucede en la red. Si los puertos de juegos o cualquier otro puerto que no funcione están abiertos, entonces es razonable que estén disponibles solo dentro de la red.
Estrechamente relacionado con este problema está el problema de los usuarios que crean sus propios recursos, como los servidores web. Parece lógico que el usuario pueda configurar su propio servidor en su propia computadora. Sin embargo, esto crea nuevas oportunidades para los piratas informáticos inquietos. ¿Lo necesitas? Quizás. Pero en este caso, usted, como administrador, debe monitorear la computadora de este usuario o confiar en la experiencia del suscriptor que levantó su servidor.
Eso, quizás, es todo lo que me gustaría llamar su atención. Debe enfatizarse una vez más que la red, incluida la red doméstica, no son solo computadoras, puertos y piratas informáticos. Estas son también las dificultades banales en el trato con personas, el problema de la seguridad de los equipos, la seguridad física y eléctrica. Muchos no lo piensan, porque simplemente están acostumbrados a ver una infraestructura lista para usar en la oficina o en otro lugar, aunque comienzan a surgir preguntas al crear una red doméstica. Lo que aquí se describe tuvo lugar en parte durante la creación de una red en nuestra zona. Por lo tanto, muchas preguntas son bien conocidas por el autor. Quizás este sea un intento de advertir a otros sobre errores que cometimos nosotros mismos o que logramos evitar gracias a “camaradas mayores” que ya tenían algo de experiencia.
ComputerPress 3 "2002
Introducción
La relevancia de este tema radica en el hecho de que los cambios que tienen lugar en la vida económica de Rusia: la creación de un sistema financiero y crediticio, empresas de diversas formas de propiedad, etc. - tener un impacto significativo en los problemas de seguridad de la información. Durante mucho tiempo en nuestro país solo había una propiedad: la propiedad estatal, por lo que la información y los secretos también eran solo propiedad estatal, que estaban protegidos por poderosos servicios especiales. Los problemas de seguridad de la información se ven constantemente agravados por la penetración de los medios técnicos de procesamiento y transmisión de datos y, sobre todo, de los sistemas informáticos, en casi todos los ámbitos de la sociedad. Los objetos de invasión pueden ser los propios medios técnicos (computadoras y periféricos) como objetos materiales, software y bases de datos, para los cuales los medios técnicos son el entorno. Cada falla de una red informática no es solo un daño "moral" para los empleados de la empresa y los administradores de red. Con el desarrollo de tecnologías de pago electrónico, flujo de trabajo "sin papel" y otros, una falla grave de las redes locales puede simplemente paralizar el trabajo de corporaciones y bancos enteros, lo que conduce a pérdidas materiales paralizantes. No es casualidad que la protección de datos en las redes informáticas se esté convirtiendo en uno de los problemas más agudos de la informática moderna. Hasta la fecha, se han formulado dos principios básicos de seguridad de la información, que deben proporcionar: - integridad de los datos - protección contra fallas que conduzcan a la pérdida de información, así como a la creación o destrucción no autorizada de datos. - confidencialidad de la información y, al mismo tiempo, su disponibilidad para todos los usuarios autorizados. Asimismo, cabe señalar que determinadas áreas de actividad (instituciones bancarias y financieras, redes de información, sistemas de la administración pública, defensa y estructuras especiales) requieren medidas especiales de seguridad de los datos e imponen mayores requisitos sobre la fiabilidad de los sistemas de información, de acuerdo con la naturaleza y importancia de las tareas que resuelven.
Si una computadora está conectada a una red local, entonces, potencialmente, se puede obtener un acceso no autorizado a esta computadora y la información que contiene desde la red local.
Si la red local está conectada a otras redes locales, los usuarios de estas redes remotas se agregan a los posibles usuarios no autorizados. No hablaremos sobre la accesibilidad de una computadora de este tipo desde la red o los canales a través de los cuales se conectaron las redes locales, porque probablemente haya dispositivos en las salidas de las redes locales que encriptan y controlan el tráfico, y se han tomado las medidas necesarias.
Si una computadora está conectada directamente a través de un proveedor a una red externa, por ejemplo, a través de un módem a Internet, para la interacción remota con su red local, entonces la computadora y la información que contiene son potencialmente accesibles para los piratas informáticos desde Internet. Y lo más desagradable es que los piratas informáticos también pueden acceder a los recursos de la red local a través de esta computadora.
Naturalmente, para todas estas conexiones, se utilizan medios estándar de control de acceso del sistema operativo, o medios especializados de protección contra el acceso no autorizado, o sistemas criptográficos a nivel de aplicaciones específicas, o ambos.
Sin embargo, todas estas medidas, lamentablemente, no pueden garantizar la seguridad deseada durante los ataques a la red, y esto se debe principalmente a las siguientes razones:
Los sistemas operativos (SO), especialmente WINDOWS, son productos de software de alta complejidad, que son creados por grandes equipos de desarrolladores. Es extremadamente difícil realizar un análisis detallado de estos sistemas. En este sentido, no es posible justificar de manera confiable la ausencia de características estándar, errores o características no documentadas que se dejaron accidental o deliberadamente en el sistema operativo, y que podrían usarse a través de ataques de red, no es posible.
En un sistema operativo multitarea, en particular WINDOWS, muchas aplicaciones diferentes pueden ejecutarse simultáneamente, ...
Hoy en día, casi todos los apartamentos tienen una red doméstica que conecta computadoras de escritorio, portátiles, almacenamiento de datos (NAS), reproductores multimedia, televisores inteligentes, así como teléfonos inteligentes, tabletas y otros dispositivos portátiles. Se utilizan conexiones cableadas (Ethernet) o inalámbricas (Wi-Fi) y protocolos TCP/IP. Con el desarrollo de las tecnologías de Internet de las cosas, los electrodomésticos (refrigeradores, cafeteras, acondicionadores de aire e incluso equipos de instalación eléctrica) han ingresado a la Web. Gracias a las soluciones Smart Home, podemos controlar el brillo de la iluminación, ajustar de forma remota el microclima en las instalaciones, encender y apagar varios electrodomésticos; esto facilita mucho la vida, pero puede crear serios problemas para el propietario de soluciones avanzadas.
Desafortunadamente, los desarrolladores de tales dispositivos aún no se preocupan lo suficiente por la seguridad de sus productos, y la cantidad de vulnerabilidades encontradas en ellos está creciendo como hongos después de la lluvia. No es raro que un dispositivo deje de ser compatible después de ingresar al mercado; por ejemplo, nuestro televisor tiene un firmware de 2016 basado en Android 4 y el fabricante no lo actualizará. Los invitados también agregan problemas: es inconveniente negarles el acceso a Wi-Fi, pero tampoco me gustaría dejar que nadie ingrese a mi acogedora red. ¿Quién sabe qué virus pueden instalarse en los teléfonos móviles de otras personas? Todo esto nos lleva a la necesidad de dividir la red doméstica en varios segmentos aislados. Tratemos de averiguar cómo hacerlo, como dicen, con poco derramamiento de sangre y con los menores costos financieros.
Aislar redes Wi-Fi
En las redes corporativas, el problema se resuelve de manera simple: hay conmutadores administrados con soporte para redes de área local virtual (VLAN), una variedad de enrutadores, firewalls y puntos de acceso inalámbricos: puede construir la cantidad requerida de segmentos aislados en un par de horas . Con la ayuda del dispositivo Traffic Inspector Next Generation (TING), por ejemplo, la tarea se resuelve con unos pocos clics. Basta con conectar el conmutador del segmento de red invitado a un puerto Ethernet separado y crear reglas de firewall. Para un hogar, esta opción no es adecuada debido al alto costo del equipo; la mayoría de las veces, nuestra red está controlada por un dispositivo que combina las funciones de un enrutador, conmutador, punto de acceso inalámbrico y Dios sabe qué más.
Afortunadamente, los enrutadores domésticos modernos (aunque es más correcto llamarlos enrutadores) también se han vuelto muy inteligentes y casi todos, excepto quizás los de muy bajo costo, tienen la capacidad de crear una red Wi-Fi de invitados aislada. La confiabilidad de este mismo aislamiento es una pregunta para un artículo separado, hoy no investigaremos el firmware de los dispositivos domésticos de diferentes fabricantes. Tomemos ZyXEL Keenetic Extra II como ejemplo. Ahora esta línea se llama simplemente Keenetic, pero un dispositivo lanzado bajo la marca ZyXEL cayó en nuestras manos.
La configuración a través de la interfaz web no causará dificultades incluso para los principiantes: unos pocos clics y tenemos una red inalámbrica separada con su propio SSID, protección WPA2 y una contraseña de acceso. Puede permitir el acceso de invitados, así como encender televisores y reproductores con firmware que no se haya actualizado durante mucho tiempo u otros clientes en los que no confíe especialmente. En la mayoría de dispositivos de otros fabricantes, esta función, repetimos, también está presente y se habilita de la misma forma. Así es como, por ejemplo, se soluciona el problema en el firmware de los routers D-Link mediante el asistente de configuración.
Puede agregar una red de invitados cuando el dispositivo ya está configurado y funcionando.
Captura de pantalla del sitio web del fabricante.
Captura de pantalla del sitio web del fabricante.
Aislar redes Ethernet
Además de clientes que se conectan a una red inalámbrica, es posible que nos encontremos con dispositivos con una interfaz cableada. Los expertos dirán que las llamadas VLAN se utilizan para crear segmentos Ethernet aislados: redes de área local virtuales. Algunos enrutadores domésticos admiten esta funcionalidad, pero aquí la tarea se vuelve más complicada. Me gustaría no solo hacer un segmento separado, necesitamos combinar puertos para una conexión por cable con una red de invitados inalámbrica en un enrutador. Esto está lejos de ser difícil para todos los dispositivos domésticos: un análisis superficial muestra que, además de los enrutadores Keenetic, los modelos MikroTik también pueden agregar puertos Ethernet a un segmento de invitados de Wi-Fi, pero el proceso de configuración no es tan obvio. Si hablamos de enrutadores domésticos de precio comparable, solo Keenetic puede resolver el problema en un par de clics en la interfaz web.
Como puede ver, el sujeto de prueba resolvió fácilmente el problema, y aquí vale la pena prestar atención a otra característica interesante: también puede aislar los clientes inalámbricos de la red de invitados entre sí. Esto es muy útil: el teléfono inteligente de su amigo infectado con malware se conectará, pero no podrá atacar otros dispositivos, incluso en la red de invitados. Si su enrutador tiene una función similar, definitivamente debe habilitarla, aunque esto limitará las posibilidades de interacción con el cliente; por ejemplo, ya no será posible hacerse amigo de un televisor con un reproductor multimedia a través de Wi-Fi. tiene que usar una conexión por cable. En esta etapa, nuestra red doméstica parece más segura.
Cual es el resultado?
La cantidad de amenazas de seguridad crece cada año y los fabricantes de dispositivos inteligentes no siempre prestan suficiente atención al lanzamiento oportuno de actualizaciones. En tal situación, solo tenemos una salida: diferenciar los clientes de la red doméstica y crear segmentos aislados para ellos. Para hacer esto, no necesita comprar equipos por decenas de miles de rublos, un centro de Internet doméstico relativamente económico puede hacer frente fácilmente a la tarea. Aquí me gustaría advertir a los lectores que no compren dispositivos de marca económicos. Casi todos los fabricantes ahora tienen más o menos el mismo hardware, pero la calidad del software incorporado es muy diferente. Así como la duración del ciclo de soporte para modelos lanzados. Incluso con una tarea bastante simple de combinar una red cableada e inalámbrica en un segmento aislado, no todos los enrutadores domésticos pueden manejarlo, y es posible que tenga otros más complejos. A veces, es necesario configurar segmentos adicionales o filtrado de DNS para acceder solo a hosts seguros, en salas grandes, debe conectar clientes Wi-Fi a la red de invitados a través de puntos de acceso externos, etc. etc. Además de las cuestiones de seguridad, existen otros problemas: en las redes públicas, es necesario garantizar el registro de clientes de acuerdo con los requisitos de la Ley Federal N° 97 “Sobre Información, Tecnologías de la Información y Protección de la Información”. Los dispositivos económicos son capaces de resolver tales problemas, pero no todos: la funcionalidad de su software incorporado, repetimos, es muy diferente.
