광대역 인터넷 액세스 및 포켓 가제트의 확산으로 무선 라우터는 매우 대중화되었습니다. 이러한 장치는 Wi-Fi를 통해 고정형 컴퓨터와 모바일 장치(스마트폰 및 태블릿) 모두에 신호를 전송할 수 있으며 채널의 대역폭은 여러 소비자의 동시 연결에 충분합니다.
오늘날 무선 라우터는 광대역 인터넷 액세스가 가능한 거의 모든 가정에서 찾을 수 있습니다. 그러나 이러한 장치의 모든 소유자가 기본 설정으로 침입자에게 극도로 취약하다고 생각하는 것은 아닙니다. 그리고 당신이 인터넷에서 당신을 해칠 수 있는 일을 하고 있지 않다고 생각한다면, 로컬 무선 네트워크의 신호를 가로채서 해커가 당신의 개인 서신뿐만 아니라 은행 계좌에도 접근할 수 있다는 사실을 생각해 보십시오. , 공식 문서 및 기타 파일.
해커는 자신의 장치에 대한 메모리 검사에만 국한되지 않을 수 있습니다. 해당 콘텐츠는 회사, 친척 및 친구의 네트워크, 모든 종류의 상업 및 정부 정보 시스템 데이터에 대한 단서를 제안할 수 있습니다. 또한 사이버 범죄자는 대규모 공격, 해킹, 미디어 파일 및 소프트웨어 불법 배포, 귀하의 네트워크를 통해 귀하를 대신하여 기타 범죄 활동에 참여할 수 있습니다.
한편, 이러한 위협으로부터 자신을 보호하기 위해 컴퓨터 네트워크 분야에 대한 특별한 지식이 없는 사람들도 이해할 수 있고 접근할 수 있는 몇 가지 간단한 규칙만 따르는 것이 좋습니다. 이러한 규칙을 숙지하시기 바랍니다.
1. 기본 관리자 자격 증명 변경
라우터 설정에 액세스하려면 웹 인터페이스로 이동해야 합니다. 이렇게 하려면 LAN(Local Area Network)의 IP 주소와 관리자의 로그인 및 암호를 알아야 합니다.
라우터의 기본 내부 IP 주소는 일반적으로 192.168.0.1, 192.168.1.1, 192.168.100.1 또는 예를 들어 192.168.123.254이며 하드웨어 설명서에 항상 나열되어 있습니다. 기본 사용자 이름과 암호는 일반적으로 설명서에도 보고되어 있거나 라우터 제조업체나 서비스 제공업체에서 얻을 수 있습니다.
라우터의 IP 주소를 브라우저의 주소 표시줄에 입력하고 나타나는 창에 사용자 이름과 비밀번호를 입력합니다. 우리가 다양한 설정으로 라우터의 웹 인터페이스를 열기 전에.
홈 네트워크 보안의 핵심 요소는 설정 변경 기능입니다. 따라서 기본 관리자 데이터를 모두 변경해야 합니다. 기본 관리자 데이터는 귀하와 동일한 라우터의 수만 인스턴스에서 사용할 수 있기 때문입니다. 적절한 항목을 찾고 새 데이터를 입력합니다.
경우에 따라 서비스 공급자가 관리자의 데이터를 임의로 변경할 수 있는 기능을 차단한 다음 해당 관리자에게 도움을 요청해야 합니다.
2. 로컬 네트워크에 액세스하기 위한 비밀번호 설정 또는 변경
당신은 웃겠지만, 무선 라우터의 관대한 소유자가 누구나 연결할 수 있는 개방형 액세스 포인트를 구성하는 경우가 여전히 있습니다. 훨씬 더 자주 "1234"와 같은 의사 암호 또는 네트워크 설치 중에 설정된 일부 평범한 단어가 홈 네트워크에 선택됩니다. 누군가가 네트워크에 쉽게 들어갈 수 있는 가능성을 최소화하려면 문자, 숫자 및 기호로 된 실제 긴 암호를 찾아내고 신호 암호화 수준을 설정해야 합니다(바람직하게는 WPA2).
3. WPS 비활성화
WPS(Wi-Fi Protected Setup) 기술을 사용하면 자세한 설정 없이 호환 장치 간에 보안 무선 통신을 신속하게 설정할 수 있지만 라우터와 장치의 해당 버튼을 누르거나 디지털 코드를 입력해야만 합니다.
한편, 일반적으로 기본적으로 켜져 있는 이 편리한 시스템에는 한 가지 약점이 있습니다. WPS는 잘못된 코드를 입력하려는 시도 횟수를 고려하지 않기 때문에 가장 간단한 유틸리티를 사용하여 단순히 무차별 대입으로 무차별 대입으로 해킹할 수 있습니다. . WPS 코드를 통해 네트워크에 침투하는 데 몇 분에서 몇 시간이 걸리며 그 후에는 네트워크 암호를 계산하는 것이 어렵지 않습니다.
따라서 "관리자 패널"에서 해당 항목을 찾고 WPS를 비활성화합니다. 불행히도 설정을 변경해도 실제로 WPS가 꺼지는 것은 아니며 일부 제조업체에서는 이 옵션을 전혀 제공하지 않습니다.
4. SSID 이름 변경
SSID(Service Set Identifier)는 무선 네트워크의 이름입니다. 이름을 인식하고 필요한 암호를 알고 있을 때 로컬 네트워크에 연결을 시도하는 다양한 장치에 의해 "기억되는" 사람입니다. 따라서 예를 들어 ISP에서 설정한 표준 이름을 유지하면 장치가 동일한 이름을 가진 많은 근처 네트워크에 연결을 시도할 가능성이 있습니다.
또한 표준 SSID를 브로드캐스팅하는 라우터는 모델과 일반적인 설정을 대략적으로 알고 그러한 구성의 특정 약점을 공격할 수 있는 해커에게 더 취약합니다. 따라서 서비스 제공업체나 장비 제조업체에 대해 언급하지 않는 가능한 고유한 이름을 선택하십시오.
동시에 SSID 브로드캐스트를 숨기기 위해 자주 접하는 조언과 이 옵션은 대다수 라우터의 표준이지만 실제로는 지지할 수 없습니다. 사실 네트워크에 연결하려는 모든 장치는 어떤 경우에도 가장 가까운 액세스 포인트를 시도하고 공격자가 특별히 "배치한" 네트워크에 연결할 수 있습니다. 즉, SSID를 숨김으로써 자신의 삶을 힘들게 할 뿐입니다.
5. 라우터의 IP 변경
라우터의 웹 인터페이스 및 설정에 대한 무단 액세스를 더욱 어렵게 하려면 기본 내부 IP 주소(LAN)를 변경하십시오.
6. 원격 관리 비활성화
많은 가정용 라우터에서 기술 지원의 편의를 위해(대부분) 인터넷을 통해 라우터 설정을 사용할 수 있는 원격 관리 기능이 구현됩니다. 따라서 외부 침투를 원하지 않는 경우 이 기능을 비활성화하는 것이 좋습니다.
그러나 이 경우 공격자가 네트워크 필드에 있고 사용자 이름과 암호를 알고 있으면 Wi-Fi를 통해 웹 인터페이스에 들어갈 수 있습니다. 일부 라우터에는 유선 연결 시에만 패널에 대한 액세스를 제한하는 기능이 있지만 불행히도 이 옵션은 매우 드뭅니다.
7. 펌웨어 업데이트
자신과 고객을 존중하는 모든 라우터 제조업체는 장비의 소프트웨어를 지속적으로 개선하고 업데이트된 버전의 펌웨어("펌웨어")를 정기적으로 출시합니다. 최신 버전에서는 우선 발견된 취약점을 수정하고 작업의 안정성에 영향을 미치는 오류를 수정했습니다.
업데이트 후에는 모든 설정이 공장 설정으로 재설정될 수 있으므로 웹 인터페이스를 통해서도 백업 복사본을 만드는 것이 좋습니다.
8. 5GHz 대역으로 이동
Wi-Fi 네트워크의 기본 범위는 2.4GHz입니다. 실내에서는 최대 약 60m, 실외에서는 최대 400m 거리에서 대부분의 기존 장치와 안정적인 수신을 제공합니다. 5GHz 대역으로 전환하면 통신 범위가 2~3배 감소하여 외부인이 무선 네트워크에 침투할 수 있는 능력이 제한됩니다. 대역폭이 덜 사용됨에 따라 데이터 전송 속도와 연결 안정성이 향상되었음을 알 수 있습니다.
이 솔루션에는 단 하나의 단점이 있습니다. 모든 장치가 5GHz 범위에서 IEEE 802.11ac 표준의 Wi-Fi와 작동하는 것은 아닙니다.
9. PING, Telnet, SSH, UPnP 및 HNAP 기능 비활성화
이 약어 뒤에 무엇이 숨겨져 있는지 모르고 이러한 기능이 확실히 필요한지 확실하지 않은 경우 라우터 설정에서 찾아 비활성화하십시오. 가능하면 포트를 닫는 대신 스텔스 모드를 선택하십시오. 이 모드는 외부에서 포트에 액세스하려고 할 때 요청과 "핑"을 무시하고 이러한 포트를 "보이지 않게" 만듭니다.
10. 라우터의 방화벽을 켜십시오
라우터에 방화벽이 내장되어 있는 경우 방화벽을 켜는 것이 좋습니다. 물론 이것이 절대적인 보호의 보루는 아니지만 소프트웨어와 함께(Windows에 내장된 방화벽이 있는 경우에도) 공격을 상당히 적절하게 저항할 수 있습니다.
11. MAC 주소 필터링 비활성화
언뜻 보기에는 특정 MAC 주소를 가진 장치만 네트워크에 연결하는 기능이 보안을 완벽하게 보장하는 것처럼 보이지만 실제로는 그렇지 않습니다. 게다가 자원이 부족한 해커에게도 웹을 열어줍니다. 공격자가 들어오는 패킷을 추적할 수 있다면 암호화되지 않은 데이터 스트림으로 전송되기 때문에 활성 MAC 주소 목록을 빠르게 받게 됩니다. 그리고 MAC 주소를 변경하는 것은 일반인에게도 문제가 되지 않습니다.
12. 다른 DNS 서버로 변경
ISP의 DNS 서버를 사용하는 대신 Google Public DNS 또는 OpenDNS와 같은 대안으로 전환할 수 있습니다. 한편으로는 인터넷 페이지의 전송 속도를 높일 수 있고 다른 한편으로는 보안을 강화할 수 있습니다. 예를 들어 OpenDNS는 모든 포트, 프로토콜 및 응용 프로그램에서 바이러스, 봇넷 및 피싱 요청을 차단하고 빅 데이터 기반 특수 알고리즘 덕분에 다양한 위협 및 공격을 예측하고 예방할 수 있습니다. 즉, Google Public DNS는 추가 기능이 없는 고속 DNS 서버입니다.
13. 대체 "펌웨어" 설치
그리고 마지막으로 자신이 하는 일을 이해하는 사람을 위한 급진적인 단계는 라우터 제조업체가 아니라 매니아가 작성한 펌웨어를 설치하는 것입니다. 일반적으로 이러한 "펌웨어"는 장치의 기능을 확장할 뿐만 아니라(일반적으로 QoS, 브리지 모드, SNMP 등과 같은 전문 기능에 대한 지원을 추가함) 비 -표준 기능.
인기있는 오픈 소스 "펌웨어" 중에는 Linux 기반
이전에는 많은 사람들이 네트워크에서 하나 또는 두 개의 장치의 존재를 제어할 수 있었지만 이제는 사용자가 점점 더 많은 장치를 사용합니다. 이는 신뢰할 수 있는 제어를 실행하기 어렵게 만듭니다.
기술과 통신의 발전은 인터넷과 함께 작동할 수 있는 모든 종류의 장치를 사용하는 가정의 급속한 성장으로 이어집니다. 사용자는 인터넷 라디오를 듣고, 음악, 영화, 프로그램, 전자책을 다운로드하는 등 기타 활동을 위해 인터넷과 상호 작용하는 장치를 기꺼이 구매합니다. 그리고 초기에 많은 사람들이 네트워크에 있는 하나 또는 두 개의 장치의 존재를 어떻게든 제어할 수 있었다면 이제 사용자는 점점 더 많은 장치를 갖게 됩니다. 이는 신뢰할 수 있는 제어를 실행하기 어렵게 만듭니다. 특히 가족이 서로 조정하지 않고 장치를 네트워크에 연결하는 여러 사용자로 구성된 경우. 홈 네트워크를 유능하게 설정하는 분야에 대한 지식의 부족은 사용자가 자신의 의지와 상관없이 인터넷에서 감시당할 수 있다는 사실로 이어집니다(http://habrahabr.ru/post/189674/). 또는 반대로 사용자는 Robin Hood 때문에 인터넷을 통해 IP 카메라의 시야에서 일어나는 일을 원격으로 모니터링할 수 있는 능력을 상실합니다.
이 기사를 통해 이상적으로는 유성음 영역에 있는 인구의 문맹률을 높이고 싶습니다. 최소한 내 경험이 홈 네트워크에서 디지털 무정부 상태를 처리하는 것에 대해 오랫동안 생각해 온 사람들에게 시간과 노력을 절약할 수 있기를 바랍니다. 그리고 아마도 홈 시어터를 유능하게 구성하는 방법에 대해 생각하는 사람들에게 유용할 것입니다.
처음에는 인터넷이 필요한 집의 장비 목록이 다음과 같은 상황에 이르렀습니다.
- PC 2대(저와 부모님)
- 휴대전화
- 홈 시어터 용품(Synology NAS, Dune 미디어 플레이어)
- 태블릿
하지만 결국 돌 하나로 두 마리의 새를 죽일 수 있었다. 나는 라트비아어 Mikrotik 751G-2HnD 라우터에서 멈췄다. 그것은 내 지갑에 큰 손상을 입히지 않았습니다(구입한 기기에서 기쁨을 느끼는 것처럼). 그리고 내 모든 필요를 충족시킬 수 있었습니다. 앞을 내다보면 이 철판과의 소통 경험이 너무 좋아서 형인 Mikrotik 951G-2HnD를 사무실에 샀다고 합니다.
모든 장치의 일반적인 연결 다이어그램은 그림 1에 나와 있습니다.
그림 1 내 홈 네트워크에 연결된 장치의 일반 다이어그램
나는 약간의 설명과 함께 그림을 제공 할 것입니다. TV 자체는 인터넷과 통신하지 않습니다. 단순히 이더넷 케이블이 없기 때문입니다. HDMI 케이블로 미디어 플레이어(Dune HD Smart D1)에 연결됩니다. 이제 Dune은 비디오를 TV로 방송할 수 있습니다. 데이터 저장을 위한 Dune의 일부 기능과 이동식 미디어 지원에도 불구하고(기본 제공 토렌트 클라이언트가 있음). 미디어 플레이어로만 사용됩니다. 그리고 이미 Synology DS212j는 음악과 영화를 위한 저장소로 사용되고 있습니다. Torrent 네트워크 작업을 위한 플러그인도 있습니다. Dune이 표시할 미디어 파일을 수신하는 공유 폴더가 이 장치에 구성되어 있습니다. Dune과 Synology는 일반 스위치(그림에서 Switch로 표시됨)에 연결하여 결합합니다. 스위치의 기능이 필요하지 않았기 때문에 처음 접한 4포트 스위치를 구입했습니다.
스위치와 두 PC는 서로 다른 Mikrotik 포트에 연결됩니다. 나는 부모님이 개조 단계에서도 아파트의 다른 부분에서 인터넷 존재 문제에 대해 진지한 일을했다고 말해야합니다. 따라서 이더넷 케이블은 벽의 거의 모든 방으로 라우팅됩니다. 따라서 장비는 물리적으로 다른 방에 분산되어 있습니다. 그리고 이더넷 케이블은 바닥, 천장 또는 벽(다른 아파트에서 흔히 볼 수 있음)에서 보이지 않습니다. 일부 코너에서는 여전히 케이블 배선이 충분하지 않습니다. 그러므로 나는 미래의 젊은 가족들에게 이 문제에 대해 특별한 주의를 기울이도록 조언합니다. 결국 Wi-Fi가 항상 좋은 솔루션은 아닙니다. 그러나 전반적으로 모든 것이 잘 연결되어 있습니다.
따라서 네트워크의 구조는 명확합니다. Mikrotik 설정부터 시작하겠습니다.
첫 번째 단계는 Mikrotik의 인터넷 친구입니다.
RouterOS v6.x로 Mikrotik을 구성하는 것은 문제가 없습니다. WebFig를 통해 빠른 설정 탭(그림 2)에서 공급자가 제공한 IP 주소를 설정합니다(조건에 따라 정적으로 등록하거나 DHCP에서 자동으로 수신하도록 설정). 필요한 경우 WAN 포트의 MAC 주소를 변경할 수 있습니다(제공자가 IP 문제를 장치 중 하나(예: 이전 라우터)의 MAC 주소에 바인딩하는 경우). 그림 2와 같이 확인란을 선택합니다.
그림 # 2 설정의 첫 번째 단계
RouterOS 버전의 경우< 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.
네트워크 설정 - 이론
그림 3은 내가 네트워크를 가져온 최종 사진입니다.
그림 3 최종 네트워크 설정
먼저 제가 구성한 내용을 말씀 드리고 바로 구성으로 넘어가겠습니다. 포트 노킹은 Mikrotik에서 구성되어 브라우저를 통해 인터넷에서 Synology NAS 관리에 대한 액세스를 일정 시간 동안 안전하게 열 수 있습니다. 집으로 돌아가기 전에 다운로드할 시간이 있도록 경주를 하고 싶다면 어떨까요?
스위치는 라우터의 포트 3에 연결됩니다. 따라서 기억의 편의를 위해 이 포트의 전체 네트워크에는 192.168.3.x 서브넷의 주소가 제공됩니다.
웹 관리를 위한 Mikrotik IP 주소 192.168.5.1.
PC 1번(192.168.5.100)은 라우터의 5번 포트에 연결되어 있습니다. 그는 네트워크의 모든 장치와 Mikrotik이 구성하는 인터넷에 액세스할 수 있습니다.
PC 2번(192.168.4.100)은 라우터의 4번 포트에 연결되어 있습니다. 그는 Mikrotik을 제외한 네트워크의 모든 장치에 대해 인터넷에 액세스할 수 있습니다(왕이 하나 있어야 함).
NAS Synology, Dune - 192.168.3.x 네트워크 및 인터넷에 액세스할 수 있습니다. 다른 모든 것은 금지되어 있습니다.
모바일 장치는 192.168.88.x 네트워크에서 주소를 수신하고 인터넷 및 기타 모바일 장치와 통신할 수 있습니다. 다른 서브넷과의 통신은 금지되어 있습니다. 무선 네트워크는 WPA2로 암호화됩니다.
일반적으로 Mikrotik은 네트워크의 장치 인증을 위해 Radius를 지원합니다. Radius 서버는 동일한 Synology일 수 있습니다. 하지만 저는 그렇게 맞추지 않았습니다. 라우터에 알려지지 않은 모든 장치는 인터넷과 통신할 수 없습니다. 이것은 TV 시청과 같은 상황을 피하는 데 도움이 됩니다.
Mikrotik을 제어하는 PC(내 경우에는 PC #1)가 스위치 없이 Mikrotik에 직접 연결되는 것이 매우 바람직합니다. 이것은 웹 인터페이스를 통해 Mikrotik으로 작업할 때 관리자 액세스 매개변수의 가로채기를 방지하는 데 유용합니다(중간자 공격 사용, ARP 프로토콜 기능 사용). 결국 Mikrotik의 웹 인터페이스는 기본적으로 분석을 위해 열려 있는 HTTP를 통과합니다. Mikrotik은 HTTPS로 전송할 수 있습니다. 그러나 이것은 별도의 중요하지 않은 작업(초보 Mikrotik 관리자용)이기 때문에 이 기사의 범위를 벗어납니다.
달성하고자 하는 바를 파악했으므로 이제 실용적인 부분으로 넘어갈 차례입니다.
네트워크 설정 - 실습
웹 인터페이스를 통해 Mikrotik에 연결합니다. 장에서 IP-> 풀 192.168.3.x 네트워크에 대한 IP 주소 발급 범위 설정(그림 4)
장에서 IP-> DHCP 서버 탭에서 DHCP 버튼을 눌러 새로운 걸 더하다 물리적 포트 3번 이더넷( ether3-슬레이브-로컬 ) 이전에 생성된 주소 발급 풀( 풀3 ) (그림 5)
장에서 IP-> 경로 새 네트워크에 대한 경로를 작성해 보겠습니다(그림 7).
장에서 인터페이스 선택하다 ether3-슬레이브-로컬 매개변수 값 변경 마스터 포트 에 없음 (그림 # 8)
장에서 IP-> 주소 게이트웨이 생성 192.168.3.1 네트워크를 위해 192.168.3.0/24 항구를 위해 ether3-슬레이브-로컬 (그림 9)
Mikrotik의 나머지 물리적 포트에 있는 다른 모든 서브넷은 동일한 방식으로 구성됩니다.
서브넷이 생성되었습니다. 이제 이더넷 포트 #3에 연결된 장치는 인터넷 및 홈 네트워크의 다른 서브넷에서 작동할 수 있습니다. 필요한 것은 허용하고 섹션에서 허용하지 않는 것은 모두 거부할 때입니다. IP->방화벽 탭에서 필터 규칙 .
버튼 사용 새로운 걸 더하다 다음 규칙을 만듭니다.
PC # 1( 192.168.5.1 ), 나머지는 금지
체인 = 입력 Src.address = 192.168.5.100 Dst.address = 192.168.5.1 작업 = 수락
체인 = 입력 액션 = 드롭
Synology NAS가 인터넷과 통신하는 것만 허용하고 로컬 네트워크(192.168.0.0/16)는 제외합니다.
체인 = 앞으로 Src.address = 192.168.3.201 Dst.address =! 192.168.0.0/16 작업 = 수락
Dune 미디어 플레이어에 대한 유사한 설정:
체인 = 앞으로 Src.address = 192.168.3.200 Dst.address =! 192.168.0.0/16 작업 = 수락
두 PC 모두 인터넷 및 홈 네트워크의 모든 서브넷과 "통신"할 수 있습니다.
체인 = 앞으로 Src.address = 192.168.5.100 Dst.address = 0.0.0.0/0 작업 = 삭제
체인 = 앞으로 Src.address = 192.168.4.100 Dst.address = 0.0.0.0/0 작업 = 삭제
192.168.3.x 네트워크(NAS Synology 및 Dune)의 장치가 PC # 1에서 시작된 연결을 설정하도록 허용합니다.
체인 = 순방향 Src.address = 192.168.3.0 / 24 Dst.address = 192.168.5.100 연결 상태 = 설정됨, 작업 = 수락
다른 모든 사람들을 위해 우리는 인터넷과 우리 네트워크의 서브넷으로 나가는 트래픽을 금지합니다.
체인 = 순방향 Src.address = 192.168.0.0 / 16 Dst.address = 0.0.0.0 / 0 작업 = 삭제
포트 노킹을 구현하려면 다음 규칙을 따르십시오.
체인 = 입력 작업 = 주소 목록에 src 추가 프로토콜 = icmp src-address-list = ICMP_SSH_128_stage1 주소 목록 = white_list_NAS 주소 목록 시간 초과 = 1h 내부 패킷 크기 = 128
체인 = 입력 동작 = add-src-to-address-list 프로토콜 = icmp src-address-list = ICMP_SSH_98_stage2 address-list = ICMP_SSH_128_stage1 address-list-timeout = 1m 내부 패킷 크기 = 128
체인 = 입력 동작 = add-src-to-address-list 프로토콜 = icmp src-address-list = ICMP_SSH_98_stage1 address-list = ICMP_SSH_98_stage2 address-list-timeout = 1m 내부 패킷 크기 = 98
체인 = 입력 동작 = add-src-to-address-list 프로토콜 = icmp address-list = ICMP_SSH_98_stage1 address-list-timeout = 1m 내부 패킷 크기 = 98
이것이 정확히 처방된 이유를 누가 알겠습니까(http://habrahabr.ru/post/186488/).
이제 "on knock" 원격 컴퓨터가 1시간 동안 허용 목록에 추가됩니다( white_list_NAS). 하지만 그게 다가 아닙니다. 그가 Synology의 웹 기반 인터페이스에 액세스할 수 있도록 이 목록에 대한 포트 전달을 구성해야 합니다( white_list_NAS)
이것은 섹션에서 수행됩니다. IP->방화벽 탭에서 NAT ... 규칙을 만들어 보겠습니다.
체인 = dstnat 프로토콜 = tcp Dst.port = 5000 Src 주소 목록 = white_list_NAS 작업 = dst-nat에서 주소로 = 192.168.3.201에서 포트로 = 5000
이제 특정 방식으로 ping을 수행하여 NAS에 액세스할 수 있습니다(그림 10).
이것으로 설정이 완료됩니다. 모든 것이 정확하면 결국 섹션에 있습니다.IP->방화벽 탭에서 필터 규칙 그림 11과 같은 그림을 얻습니다.
구성 확인
SSH를 통해 NAS 서버(192.168.3.201)에 연결하고 PC # 1(192.168.5.100)과 Dune(192.168.3.200)에 대한 추적을 수행해 보겠습니다. - 그림 12
그림 12 NAS 결과
PC # 1로 추적할 때 패킷이 192.168.3.1을 통과하여 대상에 도달하지 않는 것을 볼 수 있습니다. 그리고 패키지는 모래 언덕으로 직접 이동합니다. 동시에 인터넷에 대한 ping은 정상적으로 이루어집니다(이 경우 주소 8.8.8.8).
그리고 PC 1번(192.168.5.100)에서 NAS(192.168.3.201)까지 추적에 성공했다(그림 13).
그림 13 PC 1번에서 추적
그리고 그림 14는 네트워크에 연결된 PC에서 어떤 일이 일어나고 있는지를 보여주고 있으며 그 이후에는 Mikrotik 방화벽에서 이에 대한 규칙이 만들어지지 않았습니다. 결과적으로 이 PC는 인터넷 또는 로컬 네트워크의 다른 서브넷에 있는 다른 장치와 상호 작용할 수 없습니다.
그림 14 네트워크에 연결된 새 PC의 결과
결론
우리는 보안을 희생하지 않고 네트워크의 장치로 작업하는 편리함을 결합하여 홈 네트워크를 설정할 수 있었습니다. 다음 작업이 해결되었습니다.
- Mikrotik 구성은 PC # 1에서만 웹 인터페이스를 통해 가능합니다.
- Synilogy NAS 및 Dune은 인터넷에서 데이터를 수신할 수 있지만 다른 서브넷의 장치에는 액세스할 수 없습니다. 따라서 펌웨어에 개발자, NSA 또는 다른 사람을 위한 백도어가 포함되어 있어도 서로에 대한 정보만 알 수 있습니다(NAS Synilogy 또는 Dune 정보).
- 인터넷 어디에서나 보안 원격 액세스를 구현하여 가정에서 NAS Synilogy 다운로드에 필요한 소프트웨어 설치
- 네트워크에 연결된 승인되지 않은 장치는 연결된 서브넷 내에서만 액세스할 수 있으며 인터넷으로 데이터를 전송할 수 없습니다.
홈 네트워크에 대해서는 이미 아름다운 말들이 많이 나왔으니 바로 본론으로 들어가 보겠습니다.
홈 네트워크 자체에 대한 신중하고 신중한 태도가 필요합니다. 그녀는 다음과 같은 다양한 요인으로부터 보호해야 합니다.
- 바이러스 및 부주의한 사용자와 같은 해커 및 네트워크 불행으로부터;
- 가정용 전기 네트워크의 대기 현상 및 결함;
- 인적 요소, 즉 손을 잡는 것.
우리 잡지는 컴퓨터이지만 이 기사에서는 주로 컴퓨터가 아닌 주제에 대해 이야기할 것입니다. 우리는 구체적인 정보 없이 정보 보안을 일반적으로 고려할 것입니다. 그러나 일부 다른 측면은 주로 거의 기억되지 않기 때문에 주의를 기울일 필요가 있습니다.
잘 알려진 주제로 대화를 시작합시다 ...
손 잡기
사람들의 의식을 비난하는 것은 가치가 없습니다. 깜박이는 조명이있는 아름다운 장비는 필연적으로 그것을 가져갈 수있는 모든 사람을 끌어들일 것입니다. 홈네트워크를 확보하기 위해서는 모든 장비가 이용자 아파트에 있는 것을 원칙으로 하는 것이 가능하지만, 간혹 다락방이나 이와 유사한 방을 사용해야 하는 경우도 있다. 일반적으로 라우터, 허브, 중계기 등을 거기에 두는 것이 편리합니다. 넣어도 문제가 되지 않습니다. 대부분의 경우 ZhEK 및 DEZ 관리는 중간에 만나 허가를 받습니다. 주요 임무는이 모든 것을 잘 숨기는 것입니다. 저자도 홈 네트워크의 사용자이며 생성에 참여했기 때문에 우리에게 편리해 보이는 솔루션에 대해 이야기합시다. 우리의 경우 전선이 나가는 자물쇠가있는 격자 상자를 사용하는 것이 매우 효과적인 것으로 나타났습니다. 특히 여름에는 컴퓨터가 뜨거워지기 때문에 창이 적은 원피스 서랍을 사용하는 것은 가치가 없습니다. 동의합니다. 솔루션은 간단하고 저렴합니다. 상자를 가져갈 수 있다고 말하는 사람들을 위해 나는 대답 할 것입니다. 아파트에 들어가기도 쉽습니다. 심벌즈도 마찬가지입니다. 최근에 허브에 또 다른 문제가 발생했습니다. 전구가 많아 사람들이 이를 폭발 장치로 오인하는 것입니다. 전선은 남아 있습니다. 숨길 수 없습니다. 따라서 절단될 위험이 있습니다. 결국 일부는 고전압에서도 제거됩니다. 그러나 다음 주제는 이미 네트워크를 구축하는 사람들의 교육에 대한 일부 주장입니다.
전기 안전
여기에는 여러 측면이 있습니다. 첫 번째는 네트워크의 기능을 보장하는 장치의 안정적인 작동입니다. 이를 위해서는 가정에 좋은 전기 공급이 필요하지만 불행히도 항상 가능한 것은 아닙니다. 전력 서지 및 스윙이 있으며 사고가 쉽게 발생하거나 잠시 동안 전기를 꺼야 할 필요가 있습니다. 물론 모든 것에서 자신을 보호할 수는 없으며 네트워크가 작업 중단으로 인해 사용자에게 치명적인 결과를 초래할 정도로 중요하지 않다는 것은 확실합니다. 그럼에도 불구하고 (문자 그대로 및 비유적으로) 문제를 완화할 수 있는 장치가 있습니다. 이러한 장치는 서지 보호기입니다. 그들은 셧다운에서 구하지 않고 전력 서지에서 완전히 저장합니다. 비싸지 않은 필터를 여러 개 구입하면 안정적인 성능을 얻을 가능성을 약간 높일 수 있습니다. 다음 단계는 물론 더 비싸지 만 새로운 기회를 제공하는 UPS입니다. 첫째, 짧은(정확한 시간은 가격에 따라 다름) 정전에서 살아남을 수 있습니다. 둘째, 전력 서지에 대한 동일한 보호. 그러나 BACK과 SMART라는 근본적으로 다른 두 가지 유형의 UPS가 있다는 것을 잊지 마십시오. 전자는 배터리에 예비가 있는 동안 전력을 유지하는 방법만 알고 있습니다. 후자는 컴퓨터와 통신하고 예기치 않게 종료될 때 충돌을 피하기 위해 컴퓨터를 종료할 수 있습니다. 분명히 다락방에 있는 컴퓨터를 안전하게 유지하기 위해 BACK UPS에 투자하는 것은 무의미합니다. 효과적으로 사용하려면 옆에 앉아서 필요한 경우 모든 것을 꺼야 합니다. SMART UPS를 사용하는 것은 비용이 많이 듭니다. 여기서 당신은 당신에게 더 비싼 것이 무엇인지 생각해야 합니다: 갑작스런 정전으로 인한 중단 및 장비 손실 가능성 또는 하나의 SMART UPS에 대해 수백 1.5달러.
두 번째 측면은 기존 전기 네트워크와의 상호 작용입니다. 이 문제는 전원 케이블을 전원 케이블 가까이에서 당겨야 할 때 발생합니다. 일부 가정에서는 이를 피할 수 있습니다. 전선을 꽂을 수 있는 까다로운 구멍과 통로가 있습니다. 예를 들어 우리 집에는 그러한 구멍이 없으며 전화선 옆의 라이저를 따라 전선을 당겼습니다. 솔직히 말하면 굉장히 불편합니다. 트위스트 페어로 잡아당겼는데, 전화선이 끊어지지 않고 작은 구멍에 5개 이상의 전선을 꽂는 것은 극히 어렵습니다. 그럼에도 불구하고 가능합니다. 우리의 경우 픽업이 없기를 바랄 뿐입니다. 물론 차폐 트위스트 페어 케이블을 구입할 수 있지만 네트워크와 전원 와이어가 혼합된 경우에만 필요합니다. 일반적으로 신호 전송 주파수가 너무 다르기 때문에 픽업은 자주 발생하지 않습니다. 전력선과 다른 것은 접지입니다. 그 것은 확실히 유용하지만 오래된 집에는 단순히 접지가 없습니다. 우리 집에는 일반적으로 상황이 비정상적입니다. 집에 전기 스토브가 있고 네트워크가 3 상이고 작동하는 0이 있지만 지구는 없습니다. 원칙적으로 라디에이터 배터리에 대한 접지는 물론 이전에 이것을 생각한 사람이 아닌 한 가능합니다. 여기 우리 집에서 누군가가 이미 무언가를 접지했습니다. 이제 내 아파트에서 난방 파이프와 접지 접점 사이의 전압은 약 120V이며 그다지 약하지 않습니다. 감히 확신합니다.
그리고 세 번째 측면은 공기 또는 주택 간 연결입니다. 물론 우리는 네트워크 케이블에 대해 이야기하고 있습니다. 일반적으로 거리가 다소 크기 때문에 트위스트 페어를 사용하는 것은 어렵습니다(한계는 80m). 따라서 두 번째 채널이 첫 번째 채널인 동축 와이어가 일반적으로 던져집니다. 사실, 이 화면에는 무엇이든 유도됩니다. 뇌우는 정말 큰 전하가 축적될 수 있을 때 특히 위험합니다. 이것이 초래하는 결과는 분명합니다. 요금은 다락방에 있는 컴퓨터의 네트워크 카드에 들어가고 큰 확률로 카드 또는 전체 컴퓨터를 망가뜨립니다. 이를 방지하기 위해 전선 끝에 설치되는 프로텍터라는 장치가 있습니다. 그러나 그것들도 완벽하지 않고 때때로 그것을 뚫고 나오기도 한다. 어떤 식 으로든 데이터와 연결되지 않은 추가 실드가있는 소위 트렁크 동축도 있지만이 와이어는 기존의 트위스트 페어보다 훨씬 비쌉니다.
이제 우리는 네트웍스의 주요 문제인 정보 보안으로 넘어갑니다.
정보 보안
제 생각에는 이것이 가장 흥미로운 질문이지만 이 특별호의 다른 기사에서 자세히 다룰 것입니다.
적절한 수의 사용자가 있는 네트워크에는 자체 메일 서버인 DNS가 있으며 종종 자체 페이지가 있습니다. 따라서 공급자에게는 채널 및 일반 통계만 남게 됩니다. 채널 유형은 필수가 아닌 무선 또는 광섬유가 될 수 있습니다. 네트워킹은 필수적입니다.
첫 번째 문제는 사용자 관계입니다. 같은 집에서 친구와 단결하는 한, 그것은 아무것도 아닙니다. 당신은 서로를 알고 있으며 그들이 말했듯이 사람들은 무작위가 아닙니다. 네트워크를 통해 함께 놀고, 파일을 교환하고, 모든 사람이 볼 수 있도록 네트워크 드라이브에 흥미로운 프로그램을 넣습니다. 네트워크가 확장되면 새로운 사람과 새로운 관심사가 나타납니다. 일부는 공개적으로 해킹 기술을 테스트하기 시작합니다. 당신은 이것을 새싹에 찔러 넣고 평생 꺼야한다고 말할 것입니다. 등. 맞습니다. 처벌해야 하지만 그러한 공격을 격퇴할 수 있어야 합니다. 내부에서 누군가가 돼지를 심을 수 있다는 사실에 대비해야합니다. 때때로 이것은 사용자의 잘못이 아닌 사용자의 직접적인 잘못으로 인해 발생하지만(아마도 그는 이웃의 삶을 망치는 바이러스가 있을 수 있음), 어쨌든 그러한 상황의 가능성을 무시할 수 없습니다.
두 번째 문제는 리더십, 즉 "관리자"입니다. 네트워크는 단순하지만 관리자가 있어야 합니다. 동시에 유닉스에 대한 최소한의 이해가 있는 사람이면 누구나 될 수 있다고 생각해서는 안 됩니다. 이것은 수행해야 하는 심각한 작업입니다. 네트워크를 모니터링하고 결함에 신속하게 대응합니다. 그리고 물론 관리를 이해해야 합니다. 게이트웨이, 방화벽을 올바르게 설정하고 통계, 메일 등을 구성할 수 있어야 합니다. 이 모든 것이 안정적이고 빠르게 작동해야 합니다. 또한 네트워크 관리에는 재정적 책임도 있습니다. 그들은 네트워크를 운영하기 위해 돈을 받습니다. 그리고 사람들이 이 돈으로 정상적인 고품질 연결을 기대하는 것이 논리적입니다. 사용자가 많을 때 상황은 특히 악화됩니다. 예를 들어 3명의 관리자, 150명의 사용자가 있으며 사고는 일반적으로 외부 공급자에게 있음을 이해하고 이해할 수 있는 것은 아닙니다.
세 번째 문제는 통계입니다. 그것을 구성하는 것은 어렵지 않습니다. 청구, 즉 계정 작업, 우리의 경우 트래픽 계정 작업을 수행하는 프로그램이 꽤 있습니다. 이러한 프로그램을 설치하고 작업을 분류하고 각 바이트 수를 세기 시작하는 것은 간단한 문제입니다. 백업을 만드는 것을 기억하기만 하면 됩니다. 매일 바람직합니다. 전체 네트워크의 자산인 모든 자료와 파일에서 이러한 사본을 만드는 것이 좋지만 사용자 및 해당 통계에 대한 정보가 특히 중요합니다.
마지막으로 정보 자체입니다. 먼저 게이트웨이입니다. 네트워크가 실제로 안전하도록 방화벽을 구성해야 합니다. 이렇게 하려면 자신의 패킷만 전달하고, 네트워크 내부에서 무슨 일이 일어나고 있는지 확인하고, 침입 시도를 모니터링하고, 시스템을 지속적으로 업데이트하기만 하면 됩니다. 둘째, 우편물입니다. 메일이 네트워크의 메일 서버에 도착하는 즉시 바이러스가 있는지 확인하는 것이 좋습니다. 이렇게 하면 나중에 많은 번거로움을 줄일 수 있습니다. 사용자가 부주의하고 브라우저 설정이 바이러스가 컴퓨터에 침입하도록 허용하는 경우 이러한 검사는 바이러스 자체가 네트워크를 통해 퍼질 경우 해당 사용자와 이웃을 모두 보호합니다. 셋째, 사용자의 능력입니다. 필요한 것만 허용해야 합니다. 네트워크 포트를 의미합니다. 덜 열려 있을수록 네트워크에서 일어나는 일을 더 쉽게 추적할 수 있습니다. 게임 포트가 열려 있거나 작동하지 않는 다른 포트가 있는 경우 네트워크 내에서만 사용할 수 있도록 하는 것이 합리적입니다.
이 문제와 밀접하게 관련된 것은 사용자가 웹 서버와 같은 자신의 리소스를 생성하는 문제입니다. 사용자가 자신의 컴퓨터에서 서버를 호스팅할 수 있다는 것은 논리적으로 보입니다. 그러나 이것은 불안한 해커에게 새로운 기회를 제공합니다. 필요하세요? 아마도. 그러나 이 경우 관리자는 이 사용자의 컴퓨터를 모니터링하거나 서버를 올린 가입자의 경험을 신뢰해야 합니다.
아마도 그것이 내가 당신의 관심을 끌고 싶었던 전부일 것입니다. 가정을 포함한 네트워크는 컴퓨터, 포트 및 해커만이 아니라는 점을 다시 강조해야 합니다. 또한 사람과의 관계에서 흔히 발생하는 어려움, 장비 안전 문제, 물리적 및 전기적 안전 문제입니다. 홈 네트워크를 만들 때 질문이 생기기 시작하지만 사무실이나 다른 곳에서 기성 인프라를 보는 데 단순히 익숙하기 때문에 많은 사람들이 이에 대해 생각하지 않습니다. 여기에 설명된 것은 부분적으로 우리 지역에서 네트워크가 생성되었을 때 발생했습니다. 따라서 많은 질문이 저자에게 잘 알려져 있습니다. 아마도 이것은 우리 자신이 저지른 실수에 대해 다른 사람들에게 경고하려는 시도이거나 이미 경험이 있는 "선배 동지" 덕분에 피할 수 있었습니다.
ComputerPress 3 "2002
소개
이 주제의 관련성은 금융 및 신용 시스템, 다양한 형태의 소유 기업 등 러시아의 경제 생활에서 변화가 일어나고 있다는 사실에 있습니다. - 정보 보안 문제에 상당한 영향을 미칩니다. 오랫동안 우리나라에는 재산이 하나뿐이었습니다. 즉, 정보와 비밀도 강력한 특별 서비스로 보호되는 국가의 것이었습니다. 정보 보안 문제는 데이터 처리 및 전송의 기술적 수단이 사회의 거의 모든 영역, 무엇보다도 컴퓨터 시스템에 침투함에 따라 지속적으로 악화됩니다. 침해의 대상은 기술적 수단 자체(컴퓨터 및 주변 장치)가 물질적 개체, 소프트웨어 및 데이터베이스로서 기술 수단이 환경일 수 있습니다. 컴퓨터 네트워크의 모든 오류는 기업 및 네트워크 관리자의 직원에 대한 "도덕적" 손상만이 아닙니다. 전자 지불 기술, "종이 없는" 문서 흐름 등의 발전으로 인해 로컬 네트워크의 심각한 장애는 전체 기업과 은행의 업무를 마비시켜 실질적인 물질적 손실을 초래할 수 있습니다. 컴퓨터 네트워크의 데이터 보호가 현대 컴퓨터 과학에서 가장 시급한 문제 중 하나가 된 것은 우연이 아닙니다. 현재까지 정보 보안의 두 가지 기본 원칙이 공식화되어 다음을 보장해야 합니다. - 데이터 무결성 - 정보 손실 및 무단 데이터 생성 또는 파괴로 이어지는 오류에 대한 보호. - 정보의 기밀성과 동시에 모든 승인된 사용자에 대한 가용성. 또한 특정 활동 영역(은행 및 금융 기관, 정보 네트워크, 공공 행정 시스템, 국방 및 특수 구조)에는 특별 데이터 보안 조치가 필요하며 정보 시스템 기능의 신뢰성에 대한 요구 사항이 증가한다는 점에 유의해야 합니다. 그들이 해결하는 작업의 성격과 중요성.
컴퓨터가 로컬 네트워크에 연결되어 있으면 잠재적으로 이 컴퓨터에 대한 무단 액세스와 그 안의 정보를 로컬 네트워크에서 얻을 수 있습니다.
로컬 네트워크가 다른 로컬 네트워크에 연결되어 있으면 이러한 원격 네트워크의 사용자가 권한 없는 사용자에 추가됩니다. 로컬 네트워크의 출구에는 트래픽을 암호화하고 제어하는 장치가 있고 필요한 조치가 취해지기 때문에 로컬 네트워크가 연결된 네트워크 또는 채널에서 그러한 컴퓨터의 가용성에 대해 이야기하지 않을 것입니다.
로컬 네트워크와의 원격 상호 작용을 위해 컴퓨터가 공급자를 통해 외부 네트워크에 직접 연결되어 있는 경우(예: 모뎀을 통해 인터넷에 연결됨) 컴퓨터와 그 안의 정보는 인터넷에서 해커가 잠재적으로 사용할 수 있습니다. 그리고 가장 불쾌한 점은 해커도 이 컴퓨터를 통해 로컬 네트워크 리소스에 액세스할 수 있다는 것입니다.
당연히 이러한 모든 연결에서는 운영 체제 액세스를 구별하는 표준 수단, 변조에 대한 특수 보호 수단, 특정 애플리케이션 수준의 암호화 시스템 또는 둘 다 함께 사용됩니다.
그러나 이러한 모든 조치는 불행히도 네트워크 공격 중에 원하는 보안을 보장할 수 없으며 이는 다음과 같은 주요 이유 때문입니다.
운영 체제(OS), 특히 WINDOWS는 대규모 개발자 팀이 만든 매우 복잡한 소프트웨어 제품입니다. 이러한 시스템에 대한 자세한 분석은 매우 어렵습니다. 이와 관련하여, 실수로 또는 의도적으로 OS에 남겨둔 표준 기능, 오류 또는 문서화되지 않은 기능의 부재, 네트워크 공격을 통해 사용할 수 있는 기능의 부재를 안정적으로 입증할 수 없습니다.
멀티태스킹 OS, 특히 WINDOWS에서는 많은 다른 응용 프로그램이 동시에 실행될 수 있습니다.
오늘날 거의 모든 아파트에는 데스크탑, 노트북, 데이터 스토리지(NAS), 미디어 플레이어, 스마트 TV는 물론 스마트폰, 태블릿 및 기타 웨어러블 장치를 연결하는 홈 네트워크가 있습니다. 유선(이더넷) 또는 무선(Wi-Fi) 연결 및 TCP/IP 프로토콜이 사용됩니다. 사물 인터넷 기술의 발달로 냉장고, 커피 메이커, 에어컨, 배선 장비까지 가전 제품이 네트워크에 들어왔습니다. Smart Home 솔루션 덕분에 조명 밝기를 제어하고 실내 기후를 원격으로 조정하고 다양한 장치를 켜고 끌 수 있습니다. 이렇게 하면 삶이 훨씬 쉬워지지만 고급 솔루션 소유자에게는 심각한 문제가 발생할 수 있습니다.
불행히도 그러한 장치의 개발자는 아직 제품의 보안에 충분히 관심을 기울이지 않고 있으며 발견된 취약점의 수는 비가 온 후의 버섯처럼 증가하고 있습니다. 기기가 시장에 진입한 후 더 이상 지원되지 않는 것은 드문 일이 아닙니다. 예를 들어 당사 TV에는 Android 4 기반의 2016 펌웨어가 있고 제조업체에서 업데이트하지 않을 것입니다. 손님은 또한 문제를 추가합니다. Wi-Fi에 대한 액세스를 거부하는 것은 불편하지만 누군가만 내 아늑한 네트워크에 들어오게 하고 싶지도 않습니다. 다른 사람의 휴대전화에 어떤 바이러스가 침투할 수 있는지 누가 압니까? 이 모든 것이 우리로 하여금 홈 네트워크를 여러 개의 분리된 세그먼트로 나눌 필요를 낳습니다. 그들이 말하는 것처럼, 적은 양의 피와 가장 낮은 재정 비용으로 이것을 수행하는 방법을 알아 내려고합시다.
Wi-Fi 네트워크 격리
기업 네트워크에서는 문제가 간단하게 해결됩니다. VLAN(가상 근거리 통신망), 다양한 라우터, 방화벽 및 무선 액세스 포인트를 지원하는 관리 스위치가 있습니다. 몇 시간 안에 필요한 수의 격리된 세그먼트를 구축할 수 있습니다. 예를 들어 TING(Traffic Inspector Next Generation) 장치의 도움으로 몇 번의 클릭만으로 작업을 해결할 수 있습니다. 게스트 네트워크 세그먼트의 스위치를 별도의 이더넷 포트에 연결하고 방화벽 규칙을 만드는 것으로 충분합니다. 가정의 경우이 옵션은 장비 비용이 높기 때문에 적합하지 않습니다. 대부분의 경우 네트워크는 라우터, 스위치, 무선 액세스 포인트의 기능을 결합한 하나의 장치로 제어되며 신은 다른 것을 알고 있습니다.
다행히도 최신 가정용 라우터(인터넷 센터라고 하는 것이 더 정확하지만)도 매우 스마트해졌으며 매우 저렴한 라우터를 제외하고 거의 모든 라우터에서 격리된 게스트 Wi-Fi 네트워크를 만들 수 있습니다. 이 격리의 신뢰성은 별도의 기사에 대한 질문입니다. 오늘 우리는 다른 제조업체의 가정용 장치 펌웨어를 검사하지 않을 것입니다. ZyXEL Keenetic Extra II를 예로 들어 보겠습니다. 이제 이 라인은 단순히 Keenetic이라고 불리게 되었지만 ZyXEL 브랜드로 출시된 장치를 손에 넣었습니다.
웹 인터페이스를 통한 설정은 초보자도 어려움을 일으키지 않습니다. 몇 번의 클릭으로 이제 자체 SSID, WPA2 보호 및 액세스 암호가 있는 별도의 무선 네트워크를 갖게 되었습니다. 손님을 초대하고 오랫동안 업데이트되지 않은 펌웨어로 TV 및 플레이어 또는 특별히 신뢰하지 않는 다른 클라이언트를 켤 수 있습니다. 다른 제조업체의 대부분의 장치에서 이 기능은 동일한 방식으로 존재하며 활성화됩니다. 이것은 예를 들어 설정 마법사를 사용하여 D-Link 라우터의 펌웨어에서 문제를 해결하는 방법입니다.
장치가 이미 구성되어 작동 중인 경우 게스트 네트워크를 추가할 수 있습니다.
제조사 홈페이지 스크린샷
제조사 홈페이지 스크린샷
이더넷 네트워크 격리
무선 네트워크에 연결하는 클라이언트 외에도 유선 인터페이스가 있는 장치를 만날 수 있습니다. 전문가들은 소위 VLAN(가상 근거리 통신망)이 격리된 이더넷 세그먼트를 만드는 데 사용된다고 말합니다. 일부 홈 라우터는 이 기능을 지원하지만 여기서는 작업이 더 복잡해집니다. 그냥 별도의 세그먼트를 만드는 것이 아니라 하나의 라우터에서 무선 게스트 네트워크와 유선 연결을 위한 포트를 결합해야 합니다. 모든 가정용 기기가 이를 처리할 수 있는 것은 아닙니다. 피상적 분석에 따르면 Keenetic 인터넷 센터 외에도 MikroTik 모델은 Wi-Fi 네트워크를 사용하여 단일 게스트 세그먼트에 이더넷 포트를 추가할 수도 있지만 설정 프로세스는 그렇게 명확하지 않습니다. . 가격이 비슷한 가정용 라우터에 대해 이야기하면 Keenetic만이 웹 인터페이스에서 몇 번의 클릭으로 문제를 해결할 수 있습니다.
보시다시피, 주제는 문제에 쉽게 대처했으며 여기서 또 다른 흥미로운 기능에 주목할 가치가 있습니다. 게스트 네트워크의 무선 클라이언트를 서로 격리할 수도 있습니다. 이것은 매우 유용합니다. 맬웨어에 감염된 친구의 스마트폰은 인터넷에 액세스하지만 게스트 네트워크에서도 다른 장치를 공격할 수 없습니다. 라우터에 유사한 기능이 있는 경우 반드시 켜야 하지만 이렇게 하면 고객 상호 작용의 가능성이 제한됩니다. 예를 들어 Wi-Fi를 통해 TV와 미디어 플레이어 간에 더 이상 친구를 사귈 수 없으며, 유선 연결을 사용해야 합니다. 이 시점에서 홈 네트워크는 더 안전해 보입니다.
결론은 무엇입니까?
보안 위협의 수는 해마다 증가하고 있으며 스마트 장치 제조업체는 적시에 업데이트를 릴리스하는 데 항상 충분한 주의를 기울이지 않습니다. 이러한 상황에서 우리는 단 하나의 탈출구, 즉 홈 네트워크 클라이언트의 차별화와 이들을 위한 격리된 세그먼트 생성밖에 없습니다. 이렇게하려면 수만 루블의 장비를 구입할 필요가 없으며 비교적 저렴한 가정용 인터넷 센터가 작업에 대처할 수 있습니다. 여기에서 독자들에게 예산 브랜드의 장치를 구입하지 말라고 경고하고 싶습니다. 하드웨어는 이제 거의 모든 제조업체에서 거의 동일하지만 내장 소프트웨어의 품질은 매우 다릅니다. 출시된 모델에 대한 지원 주기의 길이도 포함됩니다. 유무선 네트워크의 분리된 부분에서 결합하는 매우 간단한 작업으로도 모든 가정용 라우터가 이에 대처할 수 있는 것은 아니며 더 복잡한 라우터가 있을 수도 있습니다. 때로는 보안 호스트에만 액세스하기 위해 추가 세그먼트 또는 DNS 필터링을 구성해야 하고, 큰 방에서는 외부 액세스 포인트 등을 통해 Wi-Fi 클라이언트를 게스트 네트워크에 연결해야 합니다. 등. 보안 문제 외에도 다른 문제가 있습니다. 공용 네트워크에서는 연방법 97 "정보, 정보 기술 및 정보 보호에 관한" 요구 사항에 따라 클라이언트를 등록해야 합니다. 저렴한 장치는 이러한 문제를 해결할 수 있지만 전부는 아닙니다. 내장 소프트웨어의 기능은 매우 다릅니다.
