S proliferacijom širokopojasnog pristupa internetu i džepnih naprava, bežični usmjerivači postali su iznimno popularni. Takvi uređaji su sposobni odašiljati signal putem Wi-Fi-ja i na stacionarna računala i na mobilne uređaje - pametne telefone i tablete - dok je propusnost kanala dovoljna za istovremeno povezivanje nekoliko potrošača.
Danas se bežični usmjerivač može naći u gotovo svakom domu s širokopojasnim pristupom internetu. Međutim, ne misle svi vlasnici takvih uređaja da su sa zadanim postavkama iznimno ranjivi na uljeze. A ako mislite da na internetu ne činite ništa što bi vam moglo naštetiti, razmislite o tome da presretanje signala lokalne bežične mreže hakeri mogu dobiti pristup ne samo vašoj osobnoj korespondenciji, već i vašem bankovnom računu , službene dokumente i sve druge datoteke.
Hakeri se ne smiju ograničiti na ispitivanje memorije samo vaših vlastitih uređaja – njihov sadržaj može sugerirati tragove za mreže vaše tvrtke, vaše rodbine i prijatelja, za podatke svih vrsta komercijalnih i državnih informacijskih sustava. Štoviše, cyber kriminalci mogu provoditi masivne napade, hakirati, ilegalno distribuirati medijske datoteke i softver te sudjelovati u drugim kriminalnim aktivnostima putem vaše mreže i u vaše ime.
U međuvremenu, kako biste se zaštitili od takvih prijetnji, vrijedi slijediti samo nekoliko jednostavnih pravila koja su razumljiva i dostupna čak i onima koji nemaju posebna znanja iz područja računalnih mreža. Pozivamo vas da se upoznate s ovim pravilima.
1. Promijenite zadane administratorske vjerodajnice
Da biste pristupili postavkama vašeg usmjerivača, morate otići na njegovo web sučelje. Da biste to učinili, morate znati njegovu IP adresu u lokalnoj mreži (LAN), kao i administratorsku prijavu i lozinku.
Zadana interna IP adresa usmjerivača obično je 192.168.0.1, 192.168.1.1, 192.168.100.1 ili, na primjer, 192.168.123.254 - uvijek je navedena u hardverskoj dokumentaciji. Zadano korisničko ime i lozinka obično su također navedeni u dokumentaciji ili se mogu dobiti od proizvođača usmjerivača ili vašeg davatelja usluga.
U adresnu traku preglednika unosimo IP-adresu usmjerivača, a u prozor koji se pojavi unesite korisničko ime i lozinku. Pred nama će se otvoriti web sučelje usmjerivača sa širokim spektrom postavki.
Ključni element sigurnosti kućne mreže je mogućnost promjene postavki, stoga je imperativ promijeniti sve zadane podatke administratora, jer se oni mogu koristiti u desecima tisuća instanci istih usmjerivača kao i vaš. Pronalazimo odgovarajuću stavku i unosimo nove podatke.
U nekim slučajevima davatelj usluge blokira mogućnost proizvoljne promjene administratorskih podataka i tada ćete mu se morati obratiti za pomoć.
2. Postavite ili promijenite lozinke za pristup lokalnoj mreži
Smijat ćete se, ali još uvijek postoje slučajevi u kojima velikodušni vlasnik bežičnog usmjerivača organizira otvorenu pristupnu točku na koju se svatko može spojiti. Puno češće se za kućnu mrežu biraju pseudolozinke poput "1234" ili neke banalne riječi postavljene tijekom mrežne instalacije. Kako biste sveli na najmanju moguću mjeru vjerojatnost da netko može lako ući u vašu mrežu, morate smisliti pravu dugačku lozinku od slova, brojeva i simbola, te postaviti razinu šifriranja signala - po mogućnosti WPA2.
3. Onemogućite WPS
Tehnologija WPS (Wi-Fi Protected Setup) omogućuje brzo uspostavljanje sigurne bežične komunikacije između kompatibilnih uređaja bez detaljnih postavki, ali samo pritiskom na odgovarajuće tipke na usmjerivaču i gadgetu ili unosom digitalnog koda.
U međuvremenu, ovaj zgodan sustav, obično uključen prema zadanim postavkama, ima jednu slabu točku: budući da WPS ne uzima u obzir broj pokušaja unosa pogrešnog koda, može se hakirati grubom silom jednostavnim grubom silom pomoću najjednostavnijih uslužnih programa . Trebat će od nekoliko minuta do nekoliko sati da prodre u vašu mrežu putem WPS koda, nakon čega neće biti teško izračunati mrežnu lozinku.
Stoga pronalazimo odgovarajuću stavku u "admin panelu" i onemogućujemo WPS. Nažalost, promjena postavki neće uvijek zapravo isključiti WPS, a neki proizvođači uopće ne pružaju ovu opciju.
4. Promijenite naziv SSID-a
SSID (Service Set Identifier) je naziv vaše bežične mreže. Upravo ga "pamte" razni uređaji, koji se prilikom prepoznavanja imena i potrebnih lozinki pokušavaju spojiti na lokalnu mrežu. Stoga, ako zadržite standardni naziv postavljen, na primjer, od strane vašeg ISP-a, postoji mogućnost da će se vaši uređaji pokušati spojiti na mnoge obližnje mreže s istim imenom.
Štoviše, usmjerivač koji emitira standardni SSID ranjiviji je na hakere, koji će otprilike znati njegov model i uobičajene postavke, te će moći pogoditi određene slabe točke takve konfiguracije. Stoga odaberite što jedinstveniji naziv, koji ne govori ništa o davatelju usluga ili proizvođaču opreme.
Istodobno, često susrećeni savjeti za skrivanje SSID emitiranja, a ova opcija je standardna za veliku većinu usmjerivača, zapravo je neodrživ. Činjenica je da će svi uređaji koji se pokušavaju spojiti na vašu mrežu u svakom slučaju isprobati najbliže pristupne točke, a mogu se spojiti na mreže koje su posebno "postavili" napadači. Drugim riječima, skrivanjem SSID-a samo sebi otežavate život.
5. Promijenite IP adresu usmjerivača
Kako biste dodatno otežali neovlašteni pristup web sučelju usmjerivača i njegovim postavkama, promijenite zadanu internu IP adresu (LAN) u njima.
6. Onemogućite udaljenu administraciju
Za praktičnost tehničke podrške (uglavnom) u mnogim kućnim usmjerivačima implementirana je funkcija udaljene administracije, uz pomoć koje postavke usmjerivača postaju dostupne putem interneta. Stoga, ako ne želimo vanjski prodor, bolje je onemogućiti ovu funkciju.
U ovom slučaju, međutim, ostaje moguć ulazak u web sučelje putem Wi-Fi-ja ako se napadač nalazi u polju vaše mreže i zna korisničko ime i lozinku. Neki usmjerivači imaju funkciju ograničavanja pristupa ploči samo kada postoji žičana veza, međutim, nažalost, ova opcija je prilično rijetka.
7. Ažurirajte firmver
Svaki proizvođač usmjerivača koji poštuje sebe i kupce neprestano poboljšava softver svoje opreme i redovito objavljuje ažurirane verzije firmware-a ("firmware"). U najnovijim verzijama, prije svega, popravljene su otkrivene ranjivosti, kao i pogreške koje utječu na stabilnost rada.
Imajte na umu da se nakon ažuriranja sve postavke koje ste napravili mogu vratiti na tvorničke postavke, pa je logično napraviti sigurnosnu kopiju - također putem web sučelja.
8. Prijeđite na pojas od 5 GHz
Osnovni raspon Wi-Fi mreža je 2,4 GHz. Omogućuje pouzdan prijem s većinom postojećih uređaja do udaljenosti od oko 60 m u zatvorenom prostoru i do 400 m na otvorenom. Prebacivanje na pojas od 5 GHz smanjit će komunikacijski domet za dva do tri puta, ograničavajući mogućnost vanjskih osoba da prodru u vašu bežičnu mrežu. Kako je propusnost manje zauzeta, možete primijetiti i povećanu brzinu prijenosa podataka i stabilnost veze.
Ovo rješenje ima samo jedan nedostatak - ne rade svi uređaji s Wi-Fi standardom IEEE 802.11ac u rasponu od 5 GHz.
9. Onemogućite funkcije PING, Telnet, SSH, UPnP i HNAP
Ako ne znate što se krije iza ovih skraćenica, a niste sigurni hoće li vam ove funkcije svakako trebati, pronađite ih u postavkama vašeg usmjerivača i onemogućite ih. Ako je moguće, umjesto zatvaranja portova, odaberite prikriveni način rada, koji će, kada im pokušate pristupiti izvana, učiniti te portove “nevidljivima”, ignorirajući zahtjeve i “pingove”.
10. Uključite vatrozid usmjerivača
Ako vaš usmjerivač ima ugrađen vatrozid, preporučujemo da ga uključite. Naravno, ovo nije bastion apsolutne zaštite, ali u kombinaciji sa softverom (čak i s ugrađenim vatrozidom u Windowsima) može se sasvim adekvatno oduprijeti napadima.
11. Onemogućite filtriranje MAC adrese
Iako se na prvi pogled čini da mogućnost povezivanja samo uređaja s određenim MAC adresama na mrežu u potpunosti jamči sigurnost, u stvarnosti to nije tako. Štoviše, čini web otvorenim čak i za manje snalažljive hakere. Ako napadač može ući u trag dolaznim paketima, tada će brzo dobiti popis aktivnih MAC adresa, budući da se one prenose u toku podataka nešifrirane. A promjena MAC adrese nije problem, čak ni laiku.
12. Promijenite na drugi DNS poslužitelj
Umjesto korištenja DNS poslužitelja vašeg ISP-a, možete se prebaciti na alternative kao što su Google Public DNS ili OpenDNS. S jedne strane, to može ubrzati isporuku internetskih stranica, a s druge može povećati sigurnost. Primjerice, OpenDNS blokira viruse, botnete i phishing zahtjeve na bilo kojem portu, protokolu i aplikaciji, a zahvaljujući posebnim algoritmima temeljenim na Big Data, u stanju je predvidjeti i spriječiti razne prijetnje i napade. S obzirom na to, Google Public DNS je samo brzi DNS poslužitelj bez dodatnih značajki.
13. Instalirajte alternativni "firmware"
I konačno, radikalan korak za nekoga tko razumije što radi je instaliranje firmwarea, koji nije napisao proizvođač vašeg usmjerivača, već entuzijasti. U pravilu, takav "firmware" ne samo da proširuje funkcionalnost uređaja (obično dodaju podršku za profesionalne funkcije poput QoS-a, bridge mode, SNMP, itd.), već ga također čine otpornijim na ranjivosti, uključujući i zbog ne -standardna priroda.
Među popularnim "firmwareom" otvorenog koda su Linux-based
Prije su mnogi mogli nekako kontrolirati prisutnost jednog ili dva uređaja u svojoj mreži, no sada korisnici imaju sve više uređaja. To otežava ostvarivanje pouzdane kontrole.
Razvoj tehnologije i telekomunikacija dovodi do brzog rasta u domovima korisnika svih vrsta uređaja koji mogu raditi s internetom. Korisnici voljno kupuju uređaje koji komuniciraju s internetom za slušanje internetskog radija, preuzimanje glazbe, filmova, programa, e-knjiga i za druge aktivnosti. I ako su ranije mnogi mogli nekako kontrolirati prisutnost jednog ili dva uređaja u svojoj mreži, sada korisnici imaju sve više uređaja. To otežava ostvarivanje pouzdane kontrole. Pogotovo kada se obitelj sastoji od nekoliko korisnika koji uspijevaju spojiti uređaje na mrežu, ne koordinirajući jedni s drugima. Nedostatak znanja u području kompetentnog postavljanja kućne mreže dovodi do činjenice da se korisnici mogu špijunirati s Interneta protiv njihove volje (http://habrahabr.ru/post/189674/). Ili, naprotiv: korisnici zbog Robin Hooda gube mogućnost daljinskog nadzora što se događa u vidnom polju njihovih IP kamera putem interneta.
Ovim člankom, u idealnom slučaju, želio bih povećati pismenost stanovništva na zvučnom području. U najmanju ruku, nadam se da će moje iskustvo uštedjeti vrijeme i trud onima koji već dugo razmišljaju o rješavanju digitalne anarhije na svojoj kućnoj mreži. A možda će biti korisno onima koji razmišljaju o tome kako kompetentno organizirati svoje kućno kazalište.
U početku sam naišao na situaciju da je lista opreme u mojoj kući kojoj je potreban internet stigao:
- 2 kom (moj i moji roditelji)
- mobitel
- pribor za kućno kino (Synology NAS, Dune media player)
- tableta
Ali, na kraju sam uspio jednim udarcem ubiti dvije muhe. Zaustavio sam se na latvijskom Mikrotik 751G-2HnD ruteru. Nije nanio veliku štetu mom novčaniku (baš kao i moje veselje od kupljenog uređaja). I mogao sam pokriti sve moje potrebe. Gledajući unaprijed, reći ću da je iskustvo komunikacije s ovim komadom željeza bilo toliko dobro da sam u ured kupio njegovog starijeg brata Mikrotik 951G-2HnD
Opći dijagram povezivanja svih uređaja prikazan je na slici 1.
Slika 1. Opći dijagram povezivanja uređaja u mojoj kućnoj mreži
Dat ću sliku s nekim objašnjenjima. Sam TV ne komunicira s internetom. Jednostavno zato što nema ethernet kabel (kupio ga je kad dovraga). Povezuje se HDMI kabelom na media player (Dune HD Smart D1). A sada Dune može emitirati video na TV. Unatoč nekim mogućnostima Dunea za pohranu podataka i podršku za prijenosne medije (kao i prisutnost ugrađenog torrent klijenta). Koristi se samo kao media player. I već se Synology DS212j koristi kao skladište za glazbu i filmove. Također ima dodatak za rad s Torrent mrežama. Na ovom uređaju konfigurirana je dijeljena mapa odakle Dune prima medijske datoteke za prikaz. Dune i Synology se kombiniraju spajanjem na obični prekidač (na slici označen Switch). Nisu mi trebale nikakve značajke prekidača, pa sam kupio prvi prekidač s 4 porta na koji sam naišao.
Prekidač i oba računala spojeni su na različite Mikrotik portove. Moram reći da su moji roditelji ozbiljno radili na pitanju prisutnosti interneta u različitim dijelovima stana čak iu fazi renoviranja. Stoga se Ethernet kabeli usmjeravaju u gotovo svaku prostoriju u zidovima. Dakle, oprema je fizički raspršena u različitim prostorijama. A Ethernet kabel se ne vidi na podu, stropu ili zidovima (što se često može naći u drugim stanovima). Iako u nekim kutovima još uvijek nema dovoljno kabelskog ožičenja. Stoga budućim mladim obiteljima savjetujem da s posebnom pažnjom razmisle o ovom pitanju. Uostalom, Wi-Fi nije uvijek dobro rješenje. Ali generalno, sve je lijepo povezano.
Dakle, struktura mreže je jasna, počnimo s postavljanjem Mikrotika
Prvi koraci su Mikrotikovi prijatelji s internetom.
Konfiguriranje Mikrotika s RouterOS v6.x nema problema. Putem WebFiga, na kartici Quick Set (slika 2), postavite IP adresu koju je dao davatelj (ovisno o vašim uvjetima, registrirajte je statički ili postavite DHCP da je prima automatski). Ako je potrebno, možete promijeniti MAC adresu WAN porta (ako davatelj vezuje IP problem za MAC adresu jednog od vaših uređaja, na primjer, prethodnog usmjerivača). Označite okvire kao na slici 2
Slika br. 2 prvi koraci postavljanja
Za slučaj s verzijom RouterOS-a< 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.
Postavljanje mreže – teorija
Slika 3 je konačna slika na koju sam doveo mrežu.
Slika 3 Konačna postavka mreže
Prvo ću vam reći što sam konfigurirao, a zatim prijeđimo izravno na konfiguraciju. Na Mikrotiku je konfigurirano kucanje porta, što vam omogućuje da na određeno vrijeme sigurno otvorite pristup s Interneta upravljanju Synology NAS-om putem preglednika. Što ako se želite uključiti u utrku, tako da imate vremena za preuzimanje prije povratka kući.
Prekidač je spojen na port 3 usmjerivača. Stoga, radi praktičnosti pamćenja, cijeloj mreži na ovom portu daju se adrese iz podmreže 192.168.3.x
Mikrotik IP adresa za web upravljanje 192.168.5.1.
PC # 1 (192.168.5.100) spojen je na port 5 usmjerivača. Omogućen mu je pristup internetu, svim uređajima na mreži i Mikrotiku da ga konfigurira.
PC # 2 (192.168.4.100) spojen je na port 4 usmjerivača. Omogućen mu je pristup internetu, svim uređajima na mreži, osim Mikrotika (mora biti jedan kralj).
NAS Synology, Dune - Dopušten pristup 192.168.3.x mreži i Internetu. Sve ostalo je zabranjeno.
Mobilni uređaji primaju adresu s mreže 192.168.88.x i mogu komunicirati s internetom i drugim mobilnim uređajima. Komunikacija s drugim podmrežama je zabranjena. Bežična mreža je šifrirana s WPA2.
Općenito, Mikrotik podržava Radius za autorizaciju uređaja na mreži. Radius poslužitelj može biti isti Synology. Ali nisam ga tako ugađao. Svi uređaji nepoznati usmjerivaču neće moći komunicirati s internetom. To će vam pomoći izbjeći situacije poput gledanja TV-a.
Vrlo je poželjno da se računalo koje upravlja Mikrotikom (u mom slučaju to PC #1) poveže izravno na Mikrotik, bez prekidača. Ovo je korisno za sprječavanje presretanja parametara administratorskog pristupa (koristeći napad čovjeka u sredini, korištenjem značajki ARP protokola) pri radu s Mikrotikom putem web sučelja. Uostalom, Mikrotikovo web sučelje po defaultu prolazi kroz HTTP koji je otvoren za analizu. Mikrotik ima mogućnost prijenosa na HTTPS. Međutim, to je izvan dosega ovog članka, jer je to zaseban netrivijalan zadatak (za početnike Mikrotik administratore).
Sada kada smo shvatili što želimo postići, vrijeme je da prijeđemo na praktični dio.
Postavljanje mreže - praksa
Na Mikrotik se povezujemo preko web sučelja. U poglavlju IP-> Pool postavite raspon za izdavanje IP adresa za mrežu 192.168.3.x (slika 4)
U poglavlju IP-> DHCP poslužitelj u kartici DHCP pritisni gumb Dodaj novi i povežite se na fizički port br. 3 Ethernet ( eter3-slave-lokalno ) prethodno kreirani skup izdavanja adresa ( bazen 3 ) (Slika 5)
U poglavlju IP-> Rute napišimo rutu za novu mrežu (slika 7):
U poglavlju Sučelja birati eter3-slave-lokalno i promijenite vrijednost parametra Glavna luka na nijedan (slika br. 8)
U poglavlju IP-> Adrese stvoriti pristupnik 192.168.3.1 za mrežu 192.168.3.0/24 za luku eter3-slave-lokalno (slika br. 9)
Sve ostale podmreže na preostalim fizičkim portovima Mikrotika konfigurirane su na isti način.
Podmreža je stvorena. Sada uređaji spojeni na Ethernet port #3 mogu raditi s internetom i drugim podmrežama kućne mreže. Vrijeme je da dopustimo ono što nam treba i zabranimo sve što nije dopušteno u rubrici. IP-> Vatrozid u kartici Pravila filtriranja .
Korištenje gumba Dodaj novi stvoriti sljedeća pravila:
Izrađujemo pravila koja vam omogućuju da kontaktirate Mikrotik s PC-om #1 ( 192.168.5.1 ), ostalo je zabranjeno
Lanac = ulaz Src.address = 192.168.5.100 Dst.address = 192.168.5.1 Akcija = prihvati
Lanac = ulaz Akcija = pad
Dopuštamo samo Synology NAS-u da komunicira s internetom, isključujući lokalnu mrežu (192.168.0.0/16):
Lanac = naprijed Src.address = 192.168.3.201 Dst.address =! 192.168.0.0/16 Akcija = prihvati
Slične postavke za Dune media player:
Lanac = proslijedi Src.address = 192.168.3.200 Dst.address =! 192.168.0.0/16 Akcija = prihvati
Oba računala dopuštamo "komunikaciju" s internetom i svim podmrežama kućne mreže:
Lanac = prosljeđivanje Src.address = 192.168.5.100 Dst.address = 0.0.0.0/0 Akcija = ispuštanje
Lanac = proslijedi Src.address = 192.168.4.100 Dst.address = 0.0.0.0/0 Action = drop
Dopuštamo uređajima iz mreže 192.168.3.x (gdje su NAS Synology i Dune) da uspostave veze koje je pokrenuo PC #1
Lanac = prosljeđivanje Src.address = 192.168.3.0 / 24 Dst.address = 192.168.5.100 Stanje veze = uspostavljeno, Akcija = prihvati
Za sve ostale zabranjujemo odlazni promet na Internet i na podmreže naše mreže:
Lanac = naprijed Src.address = 192.168.0.0 / 16 Dst.address = 0.0.0.0 / 0 Action = drop
Da biste implementirali kucanje porta, slijedite ova pravila:
lanac = radnja unosa = add-src-to-address-list protokol = icmp src-address-list = ICMP_SSH_128_stage1 address-list = white_list_NAS address-list-timeout = 1h inter-packet-size = 128
Lanac = radnja unosa = add-src-to-address-list protocol = icmp src-address-list = ICMP_SSH_98_stage2 address-list = ICMP_SSH_128_stage1 address-list-timeout = 1m in-inter packet-size = 128
Lanac = radnja unosa = add-src-to-address-list protocol = icmp src-address-list = ICMP_SSH_98_stage1 address-list = ICMP_SSH_98_stage2 address-list-timeout = 1m inter-paket-size = 98
Lanac = radnja unosa = add-src-to-address-list protokol = icmp adresa-list = ICMP_SSH_98_stage1 address-list-timeout = 1m inter-paket-size = 98
Koga briga zašto je to točno kako je propisano može pročitati (http://habrahabr.ru/post/186488/)
Sada "na kucanje" naše udaljeno računalo bit će dodano na 1 sat na popis dopuštenih ( bijela_lista_NAS). Ali to nije sve. Kako bi mogao pristupiti web-sučelju Synologya, morate konfigurirati prosljeđivanje portova za ovaj popis ( bijela_lista_NAS)
To se radi u odjeljku IP-> Vatrozid u kartici NAT ... Kreirajmo pravilo:
lanac = dstnat protokol = tcp Dst.port = 5000 Src adresa adresa = white_list_NAS akcija = dst-nat na adrese = 192.168.3.201 na portove = 5000
Sada, izradom pinga na određeni način, dobit ćemo pristup našem NAS-u (slika 10)
Time je postavljanje završeno. Ako je sve točno, onda na kraju imamo u odjeljkuIP-> Vatrozid u kartici Pravila filtriranja dobivate sliku kao na slici 11
Provjera konfiguracije
Povežimo se putem SSH-a na NAS-poslužitelj (192.168.3.201) i izvršimo praćenje do PC-a #1 (192.168.5.100) i Dune (192.168.3.200) - slika 12
Slika 12 rezultati iz NAS-a
Vidimo da prilikom praćenja do PC-a #1, paketi prolaze kroz 192.168.3.1 i ne dolaze do cilja. A paketi idu izravno u Dune. Istodobno, pingovi na Internet idu normalno (u ovom slučaju na adresu 8.8.8.8).
A od PC-a #1 (192.168.5.100) do NAS-a (192.168.3.201), praćenje je uspješno (slika 13).
Slika 13 praćenje s PC-a br. 1
A slika 14 prikazuje što se događa na PC-u koji je bio spojen na mrežu i nakon toga u Mikrotik firewall-u nisu donesena nikakva pravila o tome. Kao rezultat toga, ovo računalo ne može komunicirati ni s internetom ni s drugim uređajima u drugim podmrežama lokalne mreže.
Slika 14 rezultat je novog računala spojenog na mrežu
zaključke
Uspjeli smo postaviti našu kućnu mrežu, kombinirajući praktičnost rada s uređajima na mreži bez žrtvovanja sigurnosti. Riješeni su sljedeći zadaci:
- Mikrotik konfiguracija je moguća putem web sučelja samo s PC-om #1
- Synilogy NAS i Dune mogu primati podatke s interneta, ali ne mogu pristupiti uređajima na drugim podmrežama. Stoga, čak i ako njihov firmware sadrži backdoors za programere, NSA ili nekog drugog, sve što mogu saznati je samo jedni o drugima (o NAS Synilogy ili Dune)
- Implementiran siguran daljinski pristup s bilo kojeg mjesta na Internetu za instalaciju potrebnog softvera za preuzimanje NAS Synilogy kod kuće
- Neovlašteni uređaji spojeni na mrežu imaju pristup samo unutar podmreže na koju su spojeni i ne mogu prenositi podatke na Internet.
O kućnim mrežama već je izrečeno puno lijepih riječi, pa idemo odmah na posao.
Kućna mreža zahtijeva pažljiv i pažljiv odnos prema sebi. Potrebna joj je zaštita od raznih čimbenika, i to:
- od hakera i mrežnih nesreća, poput virusa i nemarnih korisnika;
- atmosferske pojave i nesavršenosti u električnoj mreži kućanstva;
- ljudski faktor, odnosno hvatanje za ruke.
Iako je naš časopis računalo, u ovom članku ćemo uglavnom govoriti o temama koje nisu računalne. Razmotrit ćemo informacijsku sigurnost samo općenito, bez pojedinosti. No, neki drugi aspekti zaslužuju pažnju, prvenstveno jer se rijetko pamte.
Dakle, započnimo naš razgovor s dobro poznatom temom ...
Hvatanje za ruke
Ne vrijedi kriviti svijest ljudi - lijepa oprema s trepćućim svjetlima neizbježno će privući svakoga tko je u stanju uzeti. U principu, radi osiguranja kućne mreže moguće je osigurati da se sva oprema nalazi u stanovima korisnika, no ponekad je potrebno koristiti potkrovlje ili sličnu prostoriju. Obično je tamo prikladno staviti usmjerivače, čvorišta, repetitore itd. Nije problem staviti ga. Najčešće se uprava ZhEK-a i DEZ-ova sastaje na pola puta i daje dopuštenje. Glavni zadatak je sve to dobro sakriti. Budući da je autor također korisnik kućne mreže i sudjelovao u njenom stvaranju, razgovarajmo o onim rješenjima koja su nam se činila zgodnim. U našem slučaju pokazalo se prilično učinkovitim koristiti rešetkastu kutiju s bravom, iz koje izlaze žice. Ne isplati se koristiti jednodijelnu ladicu s malim brojem prozora, jer će se računalo tu zagrijati, osobito ljeti. Slažem se, rješenje je jednostavno i jeftino. Za one koji kažu da se kutija može odnijeti, odgovorit ću: također je lako ući u stan. Isto vrijedi i za činele. Nedavno se pojavio još jedan problem s čvorištima: ima mnogo žarulja, pa ih ljudi pogrešno smatraju eksplozivnim napravama. Žice ostaju: ne mogu se sakriti. Stoga postoji rizik da će biti izrezani. Uostalom, neki se čak uklanjaju s visokog napona. Ali sljedeća tema je već neka tvrdnja o obrazovanju onih koji postavljaju mrežu.
Električna sigurnost
To ima nekoliko aspekata. Prvi je stabilan rad uređaja koji osiguravaju funkcioniranje mreže. Za to je potrebna dobra opskrba električnom energijom naših domova, što, nažalost, nije uvijek moguće. Dolazi do prenapona i zamaha, lako se može dogoditi nesreća ili će se nakratko trebati isključiti struja. Naravno, ne možete se zaštititi od svega, a mreža zasigurno nije toliko bitna da bi prekidi u njenom radu imali kobne posljedice po korisnike. Ipak, postoje uređaji koji mogu izgladiti (doslovno i figurativno) problem - to su štitnici od prenapona. Neće spasiti od isključivanja, već potpuno od napona. Možete malo poboljšati svoje šanse za stabilnu izvedbu kupnjom nekoliko ovih filtara jer nisu skupi. Sljedeća faza je UPS, koji je, naravno, skuplji, ali pruža nove mogućnosti. Prvo, možete preživjeti kratak (točno vrijeme ovisi o cijeni) nestanak struje. Drugo, ista zaštita od strujnih udara. Ali nemojte zaboraviti da postoje dvije bitno različite vrste UPS-a: BACK i SMART. Prvi znaju samo održavati snagu dok postoji rezerva u bateriji. Potonji može komunicirati s računalom i isključiti ga kako bi se izbjeglo rušenje prilikom neočekivanog isključivanja. Očito, da bi računala na tavanima bila sigurna, ulaganje u BACK UPS je besmisleno. Da biste ga učinkovito koristili, trebate sjesti pored njega i po potrebi sve isključiti. Korištenje SMART UPS-a je skupo. Ovdje morate misliti što vam je skuplje: prekidi i mogući gubitak opreme zbog iznenadnih ispada ili stotine dolara i pol za jedan SMART UPS.
Drugi aspekt je interakcija s konvencionalnom električnom mrežom. Ovaj problem se javlja kada je potrebno povući kabele za napajanje u neposrednoj blizini kabela za napajanje. U nekim se domovima to može izbjeći. Postoje lukave rupe i prolazi u koje možete zalijepiti žice. Kod nas, recimo, takvih rupa nema, a žice smo povukli uz uspon pored telefonske linije. Da budem iskren, to je krajnje nezgodno. Povukli smo ga upredenom paricom, a iznimno je teško ubaciti više od pet žica u malu rupu, a da se telefonska linija ne prekine. ipak je moguće. U našem slučaju, mogli smo se samo nadati da neće biti preuzimanja. Naravno, možete kupiti oklopljeni kabel s upletenom paricom, ali će vam trebati samo ako su mrežne i strujne žice pomiješane. Općenito, podizanja nisu česta stvar, budući da su frekvencije prijenosa signala previše različite. Ono što još ima veze sa žicama za napajanje je uzemljenje. Stvar je svakako korisna, ali u starim kućama jednostavno nema uzemljenja. U našoj kući, općenito, situacija je nenormalna: u kući su električne peći, mreža je trofazna, postoji radna nula, ali nema zemlje. U principu, uzemljenje na bateriju hladnjaka je moguće, osim ako, naravno, nitko osim vas nije razmišljao o tome prije. Ovdje u našoj kući netko je već nešto uzemljio - sada je u mom stanu napon između cijevi za grijanje i kontakta uzemljenja oko 120 V, što nije jako slabo, usuđujem se uvjeravati vas.
I treći aspekt je zrak, odnosno međukućne veze. Govorimo, naravno, o mrežnim kabelima. Budući da su udaljenosti obično prilično velike, korištenje upredenog para je teško (njena granica je 80 m). Stoga se obično baca koaksijalna žica, u kojoj je drugi kanal zaslon za prvi. Istina, bilo što se inducira na ovom ekranu. Grmljavina je posebno opasna kada se može nakupiti jako velik naboj. Do čega to dovodi očito je: naboj ulazi u mrežnu karticu računala na tavanu i s velikom vjerojatnošću uništava ga ili čak cijelo računalo. Za zaštitu od toga postoje uređaji koji se nazivaju zaštitnici koji se ugrađuju na krajeve žica. Međutim, ni oni nisu savršeni, a ponekad se i probije kroz njih. Tu je i takozvani trunk koaksijalni s dodatnim oklopom koji ni na koji način nije povezan s podacima, ali je ova žica još skuplja od konvencionalne upletene parice.
A sada se okrećemo glavnom problemu za umrežavanje - informacijskoj sigurnosti.
Sigurnost informacija
i po mom mišljenju, to je najzanimljivije pitanje, koje će, međutim, biti detaljno obrađeno u drugim člancima ovog posebnog broja.
Uz manje-više pristojan broj korisnika, mreža ima svoj mail server, DNS, vrlo često - svoju stranicu. Tako davatelju preostaje samo kanal i opća statistika. Vrsta kanala može biti bilo koja - radio ili optičko vlakno, što nije bitno. Umrežavanje je bitno.
Prvi problem su odnosi s korisnicima. Dokle god se ujedinite s prijateljima u istoj kući – to nije ništa. Poznajete se i, kako kažu, ljudi nisu slučajni. Igrate zajedno preko mreže, razmjenjujete datoteke, stavljate zanimljive programe na svoje mrežne diskove da ih svi vide itd. Kada se mreža širi, pojavljuju se novi ljudi i novi interesi. Neki otvoreno počinju testirati svoje hakerske vještine. Reći ćete da ovo treba zbrisati u korijenu, isključiti doživotno, itd. itd. Tako je – trebate kažnjavati, ali takve napade morate moći odbiti. Samo morate biti spremni na činjenicu da netko iznutra može posaditi svinju. Ponekad se to događa bez krivnje korisnika, odnosno ne njegovom izravnom krivnjom (možda ima virus koji kvari živote susjeda), ali u svakom slučaju, mogućnost takve situacije ne može se zanemariti.
Drugi problem je vodstvo, odnosno “admini”. Iako je mreža jednostavna, trebali bi postojati administratori. Pritom, ne treba misliti da to može biti bilo koja osoba koja barem malo razumije UNIX. Ovo je ozbiljan posao koji treba obaviti: nadzirati mrežu, brzo reagirati na kvarove. I, naravno, morate razumjeti administraciju: biti u stanju ispravno postaviti pristupnik, vatrozid, organizirati statistiku, poštu i možda nešto drugo. Sve bi to trebalo raditi stabilno i brzo. Osim toga, upravljanje mrežom također ima financijsku odgovornost. Plaćeni su za vođenje mreže. I logično je da ljudi očekuju da će za ovaj novac dobiti normalnu kvalitetnu vezu. Situacija se posebno pogoršava kada ima puno korisnika. Ne može svatko s razumijevanjem shvatiti da postoje, recimo, tri administratora, 150 korisnika, a nesreća je uglavnom s vanjskim pružateljem usluga.
Treći problem je statistika. Nije ga teško organizirati. Postoji dosta programa koji provode naplatu, odnosno rad s računima, au našem slučaju prometno računovodstvo. Instaliranje takvog programa, razvrstavanje njegovog rada i početak brojanja svakog bajta je jednostavna stvar. Samo se trebate sjetiti napraviti sigurnosne kopije. Poželjno svaki dan. bilo bi lijepo napraviti takve kopije od svih materijala i datoteka koje su vlasništvo cijele mreže, no posebno su važni podaci o korisnicima i njihovoj statistici.
I na kraju, sama informacija. Prvo je pristupnik. Na njemu je potrebno konfigurirati firewall kako bi mreža bila stvarno sigurna. Da biste to učinili, trebate samo proslijediti vlastite pakete, provjeriti što se događa unutar mreže, naravno, pratiti pokušaje upada i stalno ažurirati sustav. Drugo, to je pošta. Bilo bi lijepo provjeriti poštu na viruse čim stigne na poslužitelj pošte na mreži. To vam kasnije može uštedjeti mnogo muke. Ako su korisnici nepažljivi i postavke njihovih preglednika dopuštaju virusima da uđu u računalo, tada će takva provjera zaštititi i te korisnike i njihove susjede – ako se sam virus širi mrežom. Treće, to su mogućnosti korisnika. Treba dopustiti samo ono što je nužno. Mislim na mrežne portove. Što ih je manje otvoreno, lakše je pratiti što se događa na mreži. Ako su portovi za igre otvoreni ili bilo koji drugi neradni portovi, razumno ih je učiniti dostupnima samo unutar mreže.
Usko povezan s ovim problemom je problem korisnika koji stvaraju vlastite resurse, kao što su web poslužitelji. Čini se logičnim da korisnik može hostirati svoj poslužitelj na vlastitom računalu. Međutim, to stvara nove prilike za nemirne hakere. Trebaš li to? Može biti. Ali u ovom slučaju, vi kao administrator morate ili nadzirati računalo ovog korisnika ili vjerovati iskustvu pretplatnika koji je podigao svoj poslužitelj.
To je, možda, sve na što sam vam htio skrenuti pozornost. Ponovno treba naglasiti da mreža, uključujući i kućnu, nisu samo računala, portovi i hakeri. Uobičajene su i poteškoće u odnosima s ljudima, problem sigurnosti opreme, fizičke i električne sigurnosti. Mnogi o tome ne razmišljaju, jer su jednostavno navikli vidjeti gotovu infrastrukturu u uredu ili negdje drugdje, iako se pri stvaranju kućne mreže počinju postavljati pitanja. Ono što je ovdje opisano djelomično se dogodilo kada je mreža nastala na našem području. Stoga su mnoga pitanja autoru dobro poznata. Možda je ovo pokušaj da se drugi upozore na greške koje smo sami napravili ili koje smo uspjeli izbjeći zahvaljujući našim “starijim suborcima” koji su već imali određenog iskustva.
ComputerPres 3 "2002
Uvod
Relevantnost ove teme leži u činjenici da se promjene koje se događaju u gospodarskom životu Rusije - stvaranje financijskog i kreditnog sustava, poduzeća različitih oblika vlasništva itd. - imaju značajan utjecaj na pitanja informacijske sigurnosti. Dugo je u našoj zemlji postojala samo jedna imovina - država, pa su informacije i tajne također bile samo državne, koje su čuvale moćne specijalne službe. Problemi informacijske sigurnosti stalno se pogoršavaju prodorom tehničkih sredstava za obradu i prijenos podataka u praktički sve sfere društva, a prije svega u računalne sustave. Objekti zadiranja mogu biti sama tehnička sredstva (računala i periferni uređaji) kao materijalni objekti, softver i baze podataka, za koje su tehnička sredstva okoliš. Svaki kvar računalne mreže nije samo "moralna" šteta zaposlenicima poduzeća i mrežnim administratorima. S razvojem tehnologija elektroničkog plaćanja, "bezpapirnog" protoka dokumenata i ostalog, ozbiljan kvar lokalnih mreža može jednostavno paralizirati rad cijelih korporacija i banaka, što dovodi do opipljivih materijalnih gubitaka. Nije slučajno da zaštita podataka u računalnim mrežama postaje jedan od najhitnijih problema suvremene računalne znanosti. Do danas su formulirana dva temeljna načela informacijske sigurnosti koja bi trebala osigurati: - integritet podataka - zaštitu od propusta koji dovode do gubitka informacija, kao i od neovlaštenog stvaranja ili uništavanja podataka. - povjerljivost informacija i, ujedno, njihova dostupnost svim ovlaštenim korisnicima. Također treba napomenuti da određena područja djelovanja (bankarstvo i financijske institucije, informacijske mreže, sustavi javne uprave, obrana i posebne strukture) zahtijevaju posebne mjere sigurnosti podataka i postavljaju povećane zahtjeve na pouzdanost funkcioniranja informacijskih sustava, sukladno prirodu i važnost zadataka koje rješavaju.
Ako je računalo spojeno na lokalnu mrežu, tada se, potencijalno, iz lokalne mreže može dobiti neovlašteni pristup ovom računalu i informacijama u njemu.
Ako je lokalna mreža spojena na druge lokalne mreže, korisnici iz tih udaljenih mreža dodaju se mogućim neovlaštenim korisnicima. O dostupnosti ovakvog računala iz mreže ili kanala preko kojih su se povezivale lokalne mreže nećemo govoriti, jer sigurno na izlazima iz lokalnih mreža postoje uređaji koji šifriraju i kontroliraju promet te su poduzete potrebne mjere.
Ako je računalo izravno preko davatelja povezano s vanjskom mrežom, na primjer, putem modema na Internet, radi daljinske interakcije sa svojom lokalnom mrežom, računalo i informacije u njemu potencijalno su dostupni hakerima s Interneta. A najneugodnije je to što hakeri također mogu pristupiti resursima lokalne mreže putem ovog računala.
Naravno, uz sve takve veze, koriste se ili standardna sredstva razlikovnog pristupa operativnom sustavu, ili specijalizirana sredstva zaštite od neovlaštenog pristupa, ili kriptografski sustavi na razini specifičnih aplikacija, ili oboje zajedno.
Međutim, sve ove mjere, nažalost, ne mogu jamčiti željenu sigurnost tijekom mrežnih napada, a to je zbog sljedećih glavnih razloga:
Operativni sustavi (OS), posebice WINDOWS, vrlo su složeni softverski proizvodi, koje stvaraju veliki timovi programera. Detaljna analiza ovih sustava iznimno je teška. S tim u vezi, za njih nije moguće pouzdano potkrijepiti nepostojanje standardnih značajki, pogrešaka ili nedokumentiranih značajki, slučajno ili namjerno ostavljenih u OS-u, a koje bi se mogle iskoristiti putem mrežnih napada, nije moguće.
U višezadaćnom OS-u, posebice WINDOWS-u, mnogo različitih aplikacija može raditi istovremeno, ...
Danas gotovo svaki stan ima kućnu mrežu koja povezuje stolna računala, prijenosna računala, pohranu podataka (NAS), media playere, pametne televizore, kao i pametne telefone, tablete i druge nosive uređaje. Koriste se ili žičane (Ethernet) ili bežične (Wi-Fi) veze i TCP/IP protokoli. S razvojem tehnologije Interneta stvari, kućanski aparati - hladnjaci, aparati za kavu, klima-uređaji, pa čak i oprema za ožičenje - ušli su u Mrežu. Zahvaljujući rješenjima “Smart Home” možemo kontrolirati svjetlinu rasvjete, daljinski podešavati klimu u zatvorenom prostoru, uključivati i gasiti razne uređaje - to uvelike olakšava život, ali može stvoriti ozbiljne probleme vlasniku naprednih rješenja.
Nažalost, programeri ovakvih uređaja još ne brinu dovoljno o sigurnosti svojih proizvoda, a broj ranjivosti pronađenih u njima raste kao gljive nakon kiše. Nije neuobičajeno da uređaj više nije podržan nakon ulaska na tržište – primjerice, naš TV ima firmware iz 2016. baziran na Androidu 4, a proizvođač ga neće ažurirati. Gosti također dodaju probleme: nezgodno je uskratiti im pristup Wi-Fi-ju, ali ni ja ne bih želio nikoga pustiti u svoju ugodnu mrežu. Tko zna koji se virusi mogu naseliti u tuđim mobitelima? Sve nas to dovodi do potrebe da kućnu mrežu podijelimo na nekoliko izoliranih segmenata. Pokušajmo shvatiti kako to učiniti, kako kažu, s malo krvi i uz najniže financijske troškove.
Izolirajte Wi-Fi mreže
U korporativnim mrežama problem je riješen jednostavno - postoje upravljani prekidači s podrškom za virtualne lokalne mreže (VLAN), razni usmjerivači, vatrozidi i bežične pristupne točke - možete izgraditi potreban broj izoliranih segmenata u nekoliko sati. Uz pomoć uređaja Traffic Inspector Next Generation (TING), primjerice, zadatak se rješava u samo nekoliko klikova. Dovoljno je spojiti preklopnik segmenta mreže za goste na zasebni Ethernet port i kreirati pravila vatrozida. Za dom ova opcija nije prikladna zbog visoke cijene opreme - najčešće mrežom upravlja jedan uređaj koji kombinira funkcije usmjerivača, prekidača, bežične pristupne točke i Bog zna čega još.
Srećom, moderni kućni usmjerivači (iako ih je ispravnije zvati internetski centri) također su postali vrlo pametni i u gotovo svima, osim možda vrlo proračunskih, postoji mogućnost stvaranja izolirane gostujuće Wi-Fi mreže. Pouzdanost ove izolacije pitanje je za poseban članak, danas nećemo ispitivati firmware kućanskih uređaja različitih proizvođača. Uzmimo ZyXEL Keenetic Extra II kao primjer. Sada je ova linija postala jednostavno nazvana Keenetic, ali smo dobili u ruke uređaj koji je izašao pod markom ZyXEL.
Postavljanje putem web sučelja neće stvarati poteškoće ni početnicima – nekoliko klikova, a imamo i zasebnu bežičnu mrežu s vlastitim SSID-om, WPA2 zaštitom i lozinkom za pristup. U njega možete pustiti goste, kao i uključiti televizore i playere s firmwareom koji dugo nije ažuriran ili druge klijente kojima nemate posebno povjerenje. U većini uređaja drugih proizvođača ova je funkcija, ponavljamo, također prisutna i omogućena na isti način. Ovako se, na primjer, rješava problem u firmwareu D-Link usmjerivača pomoću čarobnjaka za postavljanje.
Možete dodati mrežu za goste kada je uređaj već konfiguriran i radi.
Snimka zaslona s web-mjesta proizvođača
Snimka zaslona s web-mjesta proizvođača
Izoliranje Ethernet mreža
Osim klijenata koji se povezuju na bežičnu mrežu, možemo naići na uređaje s žičnim sučeljem. Stručnjaci će reći da se takozvani VLAN - virtualne lokalne mreže - koriste za stvaranje izoliranih Ethernet segmenata. Neki kućni usmjerivači podržavaju ovu funkcionalnost, ali ovdje zadatak postaje kompliciraniji. Ne bih želio samo napraviti zaseban segment, moramo kombinirati portove za žičanu vezu s bežičnom mrežom za goste na jednom usmjerivaču. Ne može svaki kućanski uređaj to podnijeti: površna analiza pokazuje da osim Keenetic internetskih centara, MikroTik modeli mogu dodati i Ethernet portove u jedan segment gosta s Wi-Fi mrežom, ali proces njihovog postavljanja nije toliko očit . Ako govorimo o kućnim usmjerivačima usporedivim po cijeni, samo Keenetic može riješiti problem u par klikova na web sučelju.
Kao što vidite, subjekt se lako nosio s problemom, a ovdje je vrijedno obratiti pozornost na još jednu zanimljivu značajku - također možete izolirati bežične klijente mreže za goste jedne od drugih. Ovo je vrlo korisno: pametni telefon vašeg prijatelja zaražen zlonamjernim softverom pristupit će internetu, ali neće moći napadati druge uređaje čak ni u mreži za goste. Ako vaš usmjerivač ima sličnu funkciju, svakako biste je trebali uključiti, iako će to ograničiti mogućnosti interakcije s korisnicima - na primjer, više nećete moći sklapati prijateljstva između TV-a i media playera putem Wi-Fi-ja, morat ćete koristiti žičanu vezu. U ovom trenutku, naša kućna mreža izgleda sigurnije.
Što je suština?
Broj sigurnosnih prijetnji raste iz godine u godinu, a proizvođači pametnih uređaja ne pridaju uvijek dovoljno pažnje pravovremenom objavljivanju ažuriranja. U takvoj situaciji imamo samo jedan izlaz - diferencijaciju klijenata kućne mreže i stvaranje izoliranih segmenata za njih. Da biste to učinili, ne morate kupovati opremu za desetke tisuća rubalja, relativno jeftin internetski centar za kućanstvo može se nositi sa zadatkom. Ovdje bih čitatelje želio upozoriti da ne kupuju uređaje jeftinih marki. Hardver je sada više-manje isti za gotovo sve proizvođače, ali je kvaliteta ugrađenog softvera vrlo različita. Kao i duljina ciklusa potpore za puštene modele. Čak i uz prilično jednostavan zadatak kombiniranja u izoliranom segmentu žičane i bežične mreže, ne može se svaki kućni usmjerivač nositi s tim, a možda ćete imati i složenije. Ponekad trebate konfigurirati dodatne segmente ili DNS filtriranje za pristup samo sigurnim hostovima, u velikim sobama morate povezati Wi-Fi klijente s mrežom za goste putem vanjskih pristupnih točaka itd. itd. Osim sigurnosnih problema, postoje i drugi problemi: u javnim mrežama potrebno je osigurati registraciju klijenata u skladu sa zahtjevima Federalnog zakona br. 97 "O informacijama, informacijskim tehnologijama i zaštiti informacija". Jeftini uređaji sposobni su riješiti takve probleme, ali ne sve - funkcionalnost ugrađenog softvera, ponavljamo, vrlo je različita.
