S rozšírením širokopásmového prístupu na internet a vreckových gadgetov sa bezdrôtové smerovače (smerovače) stali mimoriadne populárnymi. Takéto zariadenia sú schopné prenášať signál cez protokol Wi-Fi do stacionárnych počítačov aj mobilných zariadení - smartfónov a tabletov - pričom šírka pásma kanála je dostatočná na súčasné pripojenie niekoľkých spotrebiteľov.
Dnes je bezdrôtový smerovač takmer v každej domácnosti, kde je nainštalovaný širokopásmový internet. Nie všetci majitelia takýchto zariadení však premýšľajú o tom, že s predvolenými nastaveniami sú mimoriadne zraniteľné voči votrelcom. A ak si myslíte, že na internete nerobíte nič, čo by vám mohlo uškodiť, myslite na to, že zachytením signálu lokálnej bezdrôtovej siete môžu hackeri získať prístup nielen k vašej osobnej korešpondencii, ale aj k vášmu bankovému účtu, úradnému dokumenty a akékoľvek iné súbory.
Hackeri sa nemusia obmedzovať len na skúmanie pamäte vašich vlastných zariadení – ich obsah môže naznačovať stopy k sieťam vašej firmy, vašim príbuzným a priateľom, k údajom rôznych komerčných a vládnych informačných systémov. Navyše prostredníctvom vašej siete a vo vašom mene môžu útočníci vykonávať masívne útoky, hackovať, nelegálne distribuovať mediálne súbory a softvér a zapojiť sa do iných kriminálnych aktivít.
Medzitým, aby ste sa ochránili pred takýmito hrozbami, mali by ste dodržiavať iba niekoľko jednoduchých pravidiel, ktoré sú zrozumiteľné a dostupné aj pre tých, ktorí nemajú špeciálne znalosti v oblasti počítačových sietí. Pozývame vás, aby ste sa oboznámili s týmito pravidlami.
1. Zmeňte predvolené podrobnosti správcu
Ak chcete získať prístup k nastaveniam smerovača, musíte prejsť na jeho webové rozhranie. Na to potrebujete poznať jeho IP adresu v lokálnej sieti (LAN), ako aj prihlasovacie meno a heslo správcu.
Predvolená interná IP adresa smerovača je spravidla 192.168.0.1, 192.168.1.1, 192.168.100.1 alebo napríklad 192.168.123.254 - vždy je uvedená v hardvérovej dokumentácii. Predvolené prihlasovacie meno a heslo sú zvyčajne uvedené aj v dokumentácii, prípadne ich možno získať od výrobcu smerovača alebo poskytovateľa služieb.
Do panela s adresou prehliadača zadajte adresu IP smerovača a v zobrazenom okne zadajte používateľské meno a heslo. Otvorí sa pred nami webové rozhranie routera so širokou škálou nastavení.
Kľúčovým prvkom zabezpečenia domácej siete je možnosť meniť nastavenia, preto nezabudnite zmeniť všetky predvolené údaje správcu, pretože ich možno použiť v desiatkach tisíc inštancií rovnakých smerovačov ako vy. Nájdeme príslušnú položku a zadáme nové údaje.
V niektorých prípadoch je možnosť svojvoľne zmeniť údaje správcu blokovaná poskytovateľom služby a potom ho budete musieť kontaktovať so žiadosťou o pomoc.
2. Nastavte alebo zmeňte heslá pre prístup k sieti LAN
Budete sa smiať, ale stále existujú prípady, keď veľkorysý majiteľ bezdrôtového smerovača zorganizuje otvorený prístupový bod, ku ktorému sa môže pripojiť každý. Oveľa častejšie sa pre domácu sieť vyberajú pseudoheslá ako „1234“ alebo niektoré banálne slová špecifikované počas sieťovej inštalácie. Aby ste minimalizovali šancu, že sa niekto ľahko dostane do vašej siete, musíte si vymyslieť poriadne dlhé heslo zložené z písmen, číslic a symbolov a nastaviť úroveň šifrovania signálu – najlepšie WPA2.
3. Vypnite WPS
Technológia WPS (Wi-Fi Protected Setup) umožňuje rýchlo vytvoriť bezpečné bezdrôtové spojenie medzi kompatibilnými zariadeniami bez podrobných nastavení, ale iba stlačením príslušných tlačidiel na smerovači a miniaplikácii alebo zadaním digitálneho kódu.
Medzitým má tento pohodlný systém, zvyčajne štandardne povolený, jednu slabú stránku: keďže WPS nepočíta počet pokusov o zadanie nesprávneho kódu, môže byť hacknutý „hrubou silou“ jednoduchým vymenovaním pomocou najjednoduchších utilít. Preniknutie do vašej siete cez kód WPS bude trvať niekoľko minút až niekoľko hodín, potom už nebude ťažké vypočítať sieťové heslo.
Preto nájdeme zodpovedajúcu položku v "administračnom paneli" a vypneme WPS. Bohužiaľ, vykonaním zmien v nastaveniach sa WPS nie vždy skutočne vypne a niektorí výrobcovia takúto možnosť vôbec neposkytujú.
4. Zmeňte názov SSID
SSID (Service Set Identifier) je názov vašej bezdrôtovej siete. Práve on je „pamätaný“ rôznymi zariadeniami, ktoré sa pri rozpoznaní mena a potrebných heslách pokúšajú pripojiť k lokálnej sieti. Ak teda ponecháte predvolený názov nastavený napríklad vaším ISP, existuje šanca, že sa vaše zariadenia pokúsia pripojiť k mnohým blízkym sieťam s rovnakým názvom.
Router vysielajúci štandardné SSID je navyše zraniteľnejší voči hackerom, ktorí budú zhruba poznať jeho model a obvyklé nastavenia a budú môcť zasiahnuť konkrétne slabé miesta v takejto konfigurácii. Voľte preto názov, ktorý je čo najunikátnejší, nič nehovorí o poskytovateľovi služby ani o výrobcovi zariadenia.
Pritom často sa vyskytujúca rada skryť vysielanie SSID, a táto možnosť je štandardom pre veľkú väčšinu smerovačov, je vlastne neudržateľná. Faktom je, že všetky zariadenia, ktoré sa pokúšajú pripojiť k vašej sieti, v každom prípade prejdú cez najbližšie prístupové body a môžu sa pripojiť k sieťam špeciálne „umiestneným“ votrelcami. Inými slovami, skrytím SSID si len sťažujete život.
5. Zmeňte IP adresu smerovača
Aby ste ešte viac sťažili neoprávnený prístup k webovému rozhraniu routera a jeho nastaveniam, zmeňte v nich predvolenú internú IP adresu (LAN).
6. Vypnite vzdialenú správu
Pre pohodlie technickej podpory (väčšinou) v mnohých domácich smerovačoch je implementovaná funkcia vzdialenej správy, pomocou ktorej sú nastavenia smerovača dostupné cez internet. Ak teda nechceme prienik zvonku, je lepšie túto funkciu zakázať.
Zároveň však zostáva možnosť vstupu do webového rozhrania cez Wi-Fi, ak sa útočník nachádza v poli vašej siete a pozná prihlasovacie meno a heslo. Niektoré smerovače majú funkciu obmedzenia prístupu k panelu iba pri káblovom pripojení, táto možnosť je však, žiaľ, pomerne zriedkavá.
7. Aktualizujte firmvér
Každý výrobca smerovačov, ktorý rešpektuje seba a svojich zákazníkov, neustále vylepšuje softvér svojich zariadení a pravidelne vydáva aktualizované verzie firmvéru („firmvér“). V najnovších verziách sú v prvom rade opravené zistené zraniteľnosti, ako aj chyby, ktoré ovplyvňujú stabilitu diela.
Upozorňujeme, že po aktualizácii môžu byť všetky nastavenia, ktoré ste vykonali, obnovené na výrobné nastavenia, preto má zmysel vytvoriť si ich záložnú kópiu – aj cez webové rozhranie.
8. Prejdite do pásma 5 GHz
Základný rozsah Wi-Fi sietí je 2,4 GHz. Poskytuje spoľahlivý príjem väčšinou existujúcich zariadení na vzdialenosť až cca 60 m v interiéri a až 400 m v exteriéri. Prepnutím na pásmo 5 GHz sa komunikačný dosah zníži dvakrát až trikrát, čím sa obmedzí možnosť preniknúť do vašej bezdrôtovej siete cudzincami. Vďaka menšej obsadenosti pásma si môžete všimnúť aj zvýšenú rýchlosť prenosu dát a stabilitu pripojenia.
Toto riešenie má len jedno mínus – nie všetky zariadenia fungujú s Wi-Fi štandardu IEEE 802.11ac v pásme 5 GHz.
9. Vypnite funkcie PING, Telnet, SSH, UPnP a HNAP
Ak neviete, čo sa za týmito skratkami skrýva, a nie ste si istí, že tieto funkcie budete určite potrebovať, nájdite si ich v nastaveniach routera a vypnite ich. Ak je to možné, namiesto zatvárania portov zvoľte utajený režim, ktorý pri pokuse o prístup k nim zvonku urobí tieto porty „neviditeľnými“ a ignoruje požiadavky a „pingy“.
10. Zapnite bránu firewall smerovača
Ak má váš smerovač zabudovaný firewall, odporúčame vám ho povoliť. Samozrejme, nejde o žiadnu baštu absolútnej ochrany, no v kombinácii so softvérovými nástrojmi (aj s firewallom zabudovaným vo Windows) dokáže útokom odolávať celkom adekvátne.
11. Vypnite filtrovanie MAC adries
Aj keď sa na prvý pohľad zdá, že možnosť pripojiť do siete len zariadenia s konkrétnymi MAC adresami úplne zaručuje bezpečnosť, v skutočnosti to tak nie je. A čo viac, robí sieť otvorenou aj pre nie príliš vynaliezavých hackerov. Ak útočník dokáže sledovať prichádzajúce pakety, rýchlo získa zoznam aktívnych MAC adries, keďže sa v dátovom toku prenášajú nešifrovane. A zmena MAC adresy nie je problém ani pre neprofesionála.
12. Zmeňte na iný server DNS
Namiesto používania servera DNS vášho poskytovateľa internetových služieb môžete prejsť na alternatívy, ako sú verejné DNS Google alebo OpenDNS. Na jednej strane to môže urýchliť poskytovanie internetových stránok a na druhej strane zvýšiť bezpečnosť. OpenDNS napríklad blokuje vírusy, botnety a phishingové požiadavky na akomkoľvek porte, protokole a aplikácii a vďaka špeciálnym algoritmom založeným na veľkých dátach dokáže predvídať a predchádzať rôznym hrozbám a útokom. Verejný DNS Google je zároveň len vysokorýchlostný server DNS bez ďalších funkcií.
13. Nainštalujte alternatívny "firmvér"
A nakoniec, radikálnym krokom pre niekoho, kto rozumie tomu, čo robí, je inštalácia firmvéru, ktorý nenapísal výrobca vášho smerovača, ale nadšenci. Takýto „firmvér“ spravidla nielen rozširuje funkcionalitu zariadenia (zvyčajne pridáva podporu profesionálnych funkcií ako QoS, bridge mode, SNMP atď.), ale robí ho aj odolnejším voči zraniteľnostiam – vrátane toho, že -štandardný.
Medzi populárny „firmvér“ s otvoreným zdrojom patria tie, ktoré sú založené na Linuxe
Predtým mohli mnohí nejako kontrolovať prítomnosť jedného alebo dvoch zariadení vo svojej sieti, ale teraz majú používatelia stále viac zariadení. To sťažuje spoľahlivé ovládanie.
Rozvoj technológií a telekomunikácií vedie k rýchlemu nárastu domácností používateľov všetkých druhov zariadení, ktoré dokážu pracovať s internetom. Používatelia sú ochotní kupovať zariadenia, ktoré interagujú s internetom, aby mohli počúvať internetové rádiá, sťahovať hudbu, filmy, softvér, elektronické knihy a iné aktivity. A ak predtým mnohí mohli nejakým spôsobom kontrolovať prítomnosť jedného alebo dvoch zariadení vo svojej sieti, teraz majú používatelia stále viac zariadení. To sťažuje spoľahlivé ovládanie. Najmä, keď rodinu tvorí viacero používateľov, ktorým sa podarí pripojiť zariadenia k sieti bez toho, aby sa navzájom dohodli. Nedostatok vedomostí v oblasti kompetentného nastavenia domácej siete vedie k tomu, že používatelia môžu byť špehovaní z internetu proti ich vôli (http://habrahabr.ru/post/189674/). Alebo naopak: používatelia strácajú kvôli Robinovi Hoodsovi možnosť vzdialene sledovať cez internet, čo sa deje v zornom poli ich IP kamier.
Týmto článkom by som v ideálnom prípade chcel zvýšiť gramotnosť obyvateľstva v hlasovej oblasti. Minimálne dúfam, že moja skúsenosť ušetrí čas a námahu tým, ktorí dlho uvažovali o tom, ako sa vysporiadať s digitálnou anarchiou vo svojej domácej sieti. A možno to bude užitočné pre tých, ktorí premýšľajú o tom, ako správne usporiadať svoje domáce kino.
Spočiatku som čelil situácii, že zoznam zariadení v mojom dome, ktoré potrebujú internet, dosiahol:
- 2 počítače (moje a rodičia)
- mobilný telefón
- Vybavenie domáceho kina (Synology NAS server, Dune Media Player)
- tabletu
Nakoniec som však dokázal zabiť dve muchy jednou ranou. Zastavil som sa pri lotyšskom routeri Mikrotik 751G-2HnD. Na mojej peňaženke nenarobil veľkú škodu (rovnako ako moja radosť zo zakúpeného zariadenia). A dokázal pokryť všetky moje potreby. Pri pohľade do budúcnosti poviem, že moje skúsenosti s týmto hardvérom boli také dobré, že som si do kancelárie kúpil jeho staršieho brata Mikrotik 951G-2HnD.
Všeobecná schéma zapojenia pre všetky zariadenia je znázornená na obr.
Obr.č.1 Všeobecná schéma pripojenia zariadení v mojej domácej sieti
K obrázku pridám nejaké vysvetlenia. Televízor sám o sebe nekomunikuje s internetom. Jednoducho preto, že nemá ethernetový kábel (kedy ho sakra kúpili). Pripája sa pomocou kábla HDMI k prehrávaču médií (Dune HD Smart D1). A teraz môže Duna vysielať video v televízii. Napriek určitému ukladaniu údajov Dune a podpore vymeniteľných médií (ako aj prítomnosti vstavaného torrent klienta). Používa sa iba ako prehrávač médií. A už sa Synology DS212j používa ako úložisko hudby, filmov. Má tiež plugin pre prácu so sieťami Torrent. Na tomto zariadení je nakonfigurovaný zdieľaný priečinok, odkiaľ Dune prijíma mediálne súbory na zobrazenie. Dune a Synology sú prepojené pripojením k bežnému switchu (na obrázku označeného ako Switch). Nepotreboval som žiadne funkcie od prepínača, tak som si kúpil prvý 4-portový prepínač, na ktorý som narazil.
Prepínač a oba počítače sú pripojené k rôznym portom Mikrotik. Musím povedať, že moji rodičia vážne pracovali na probléme s internetom v rôznych častiach bytu v štádiu opravy. Preto sú ethernetové káble uložené takmer v každej miestnosti v stenách. Takže fyzicky je zariadenie rozptýlené v rôznych miestnostiach. A ethernetový kábel nie je viditeľný na podlahe, strope alebo stenách (ktoré sa často nachádzajú v iných bytoch). Aj keď v niektorých rohoch stále nie je dostatok káblových rozvodov. Preto radím budúcim mladým rodinám, aby sa nad touto otázkou zamysleli obzvlášť opatrne. Koniec koncov, Wi-Fi nie je vždy dobrým riešením. Ale vo všeobecnosti je všetko krásne prepojené.
Takže štruktúra siete je jasná, začnime s nastavením Mikrotiku
Prvé kroky - sme priatelia s internetovým Mikrotikom.
Nastavenie Mikrotiku s RouterOS v6.x je bez problémov. Cez WebFig v záložke Quick Set (obr. 2) nastavte IP adresu vydanú poskytovateľom (v závislosti od vašich podmienok sa zaregistrujte staticky, alebo nastavte DHCP na automatický príjem). V prípade potreby môžete zmeniť MAC adresu portu WAN (ak poskytovateľ viaže vydanie IP na MAC adresu jedného z vašich zariadení, napríklad predchádzajúceho smerovača). Začiarknite políčka, ako je znázornené na obrázku 2
Obr. č. 2 prvé kroky nastavenia
V prípade verzie RouterOS< 6.x всё не так просто. Когда я покупал свой роутер (год назад), там была версия 5.х. MAC-адрес WAN-порта в ней нельзя было менять через браузер, пришлось сделать это через терминал (по ssh). Определённые трудности были и с другими настройкой параметров интернета. Я не буду останавливаться на этом подробно. Все эти проблемы решались через гугл. Скажу лишь, что когда я столкнулся с этим снова (в офисе при замене роутера на Mikrotik), я несколько изловчился: подключил Mikrotik WAN-портом в порт роутера (который планировал заменить), через браузер настроил Mikrotik на получение адреса по DHCP. После чего скачал прошивку версии 6.x. А далее - повторил процедуру, указанную выше. Это значительно сэкономило мне времени. Замена старого роутера прошла с первого раза, без каких-либо проблем.
Nastavenie siete - teória
Obrázok 3 - konečný obrázok, ku ktorému som priviedol sieť.
Obr. č. 3 Finálne nastavenie siete
Najprv vám poviem, čo som nastavil, a potom prejdeme priamo k nastaveniu. Klepanie portov je nakonfigurované na Mikrotiku, čo vám umožňuje bezpečne otvoriť prístup z internetu na správu Synology NAS cez prehliadač na určitý čas. Zrazu si chcete dať niečo na skok, aby ste si to mohli stiahnuť, kým sa vrátite domov.
Prepínač je pripojený k portu 3 smerovača. Pre ľahšiu zapamätateľnosť sú preto adresy z podsiete 192.168.3.x vydávané celej sieti na tomto porte
IP adresa Mikrotiku pre správu cez webové rozhranie je 192.168.5.1.
PC #1 (192.168.5.100) je pripojený k portu 5 smerovača. Má povolený prístup na internet, do všetkých zariadení v sieti a do Mikrotiku - na jeho konfiguráciu.
PC #2 (192.168.4.100) je pripojený k portu 4 smerovača. Má povolený prístup na internet, do všetkých zariadení v sieti, okrem Mikrotiku (kráľ musí byť sám).
NAS Synology, Dune – povolený prístup k sieti 192.168.3.x ak internetu. Všetko ostatné je zakázané.
Mobilné zariadenia dostanú adresu zo siete 192.168.88.x a môžu komunikovať s internetom a inými mobilnými zariadeniami. Komunikácia s inými podsieťami je zakázaná. Bezdrôtová sieť je šifrovaná pomocou WPA2.
Vo všeobecnosti Mikrotik podporuje Radius na autorizáciu zariadení v sieti. Rovnaký Synology možno použiť ako server Radius. Ale ja som to tak nenastavil. Všetky zariadenia, ktoré router nepozná, nebudú môcť komunikovať s internetom. To pomôže vyhnúť sa situáciám, ako je sledovanie televíznych používateľov.
Je nanajvýš žiaduce, aby sa PC, ktoré Mikrotik ovláda (v mojom prípade je to PC č. 1) pripájalo priamo k Mikrotiku, bez prepínačov. Je to užitočné na zamedzenie odpočúvania prístupových parametrov správcu (pomocou útoku typu man-in-the-middle, využitím vlastností protokolu ARP) pri práci s Mikrotikom cez webové rozhranie. Webové rozhranie Mikrotiku v predvolenom nastavení prechádza HTTP, ktorý je otvorený na analýzu. Mikrotik má možnosť prejsť na HTTPS. To však presahuje rámec tohto článku, keďže ide o samostatnú netriviálnu úlohu (pre začínajúcich správcov Mikrotiku).
Teraz, keď sme zistili, čo chceme dosiahnuť, je čas prejsť k praktickej časti.
Nastavenie siete - prax
K Mikrotiku sa pripájame cez webové rozhranie. V sekcii IP->Bazén nastaviť rozsah vydávajúcich IP adries pre sieť 192.168.3.x (obr. 4)
V sekcii IP->DHCP Server tab DHCP stlač tlačidlo Pridať nové a naviazať sa na fyzický port číslo 3 Ethernet ( ether3-slave-local ) predtým vytvorený fond vydávania adries ( bazén 3 ) (ryža č. 5)
V sekcii IP->Trasy napíšeme trasu pre novú sieť (obr. 7):
V sekcii Rozhrania vybrať si ether3-slave-local a zmeňte hodnotu parametra Master Port na žiadny (obrázok č. 8)
V sekcii IP->Adresy vytvoriť bránu 192.168.3.1 pre sieť 192.168.3.0/24 pre prístav ether3-slave-local (ryža č. 9)
Všetky ostatné podsiete na zostávajúcich fyzických portoch Mikrotiku sú nakonfigurované rovnakým spôsobom.
Podsieť bola vytvorená. Teraz môžu zariadenia pripojené k ethernetovému portu #3 pracovať s internetom a ďalšími podsieťami domácej siete. Je čas povoliť to, čo potrebujeme a zakázať všetko, čo sa v oddiele nesmie IP->Firewall tab Pravidlá filtrovania .
Pomocou tlačidla Pridať nové vytvorte nasledujúce pravidlá:
Vytvárame pravidlá, ktoré umožňujú prístup k Mikrotiku z PC č. 192.168.5.1 ), zvyšok zakazujeme
Reťaz= vstup Src.address =192.168.5.100 Dst.address = 192.168.5.1 Akcia= prijať
Reťaz= vstup Akcia= pokles
Zariadeniu Synology NAS umožňujeme „komunikovať“ iba s internetom, vylučujeme lokálnu sieť (192.168.0.0/16):
Chain= forward Src.address =192.168.3.201 Dst.address = !192.168.0.0/16 Action= accept
Podobné nastavenia pre prehrávač médií Dune:
Chain= forward Src.address =192.168.3.200 Dst.address = !192.168.0.0/16 Action= accept
Umožňujeme obom počítačom „komunikovať“ s internetom a všetkými podsieťami domácej siete:
Chain= forward Src.address =192.168.5.100 Dst.address = 0.0.0.0/0 Action= drop
Chain= forward Src.address =192.168.4.100 Dst.address = 0.0.0.0/0 Action= drop
Umožňujeme zariadeniam zo siete 192.168.3.x (kde NAS Synology a Dune) nadväzovať spojenia iniciované PC č.
Chain= forward Src.address =192.168.3.0/24 Dst.address = 192.168.5.100 Stav pripojenia = nadviazané, akcia= akceptovať
Pre všetkých ostatných zakazujeme odchádzajúce prenosy na Internet a v podsieti našej siete:
Chain= forward Src.address =192.168.0.0/16 Dst.address =0.0.0.0/0 Action= drop
Ak chcete implementovať klopanie portov, postupujte podľa nasledujúcich pravidiel:
chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_128_stage1 address-list=white_list_NAS address-list-timeout=1h in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage2 address-list=ICMP_SSH_128_stage1 address-list-timeout=1 m in-inter packet-size=128
Chain=input action=add-src-to-address-list protocol=icmp src-address-list=ICMP_SSH_98_stage1 address-list=ICMP_SSH_98_stage2 address-list-timeout=1m in-inter packet-size=98
Chain=input action=add-src-to-address-list protocol=icmp address-list=ICMP_SSH_98_stage1 address-list-timeout=1m in-inter packet-size=98
Koho zaujíma, prečo je to napísané takto, môže si to prečítať (http://habrahabr.ru/post/186488/)
Teraz „na zaklopanie“ bude náš vzdialený počítač pridaný do zoznamu povolených na 1 hodinu ( white_list_NAS). To však nie je všetko. Aby mohol pristupovať k webovému rozhraniu Synology, musíte pre tento zoznam nakonfigurovať presmerovanie portov ( white_list_NAS)
Toto sa vykonáva v sekcii IP->Firewall tab NAT . Vytvorme pravidlo:
chain=dstnat protocol=tcp Dst.port=5000 Src address list=white_list_NAS action=dst-nat na adresy=192.168.3.201 na porty=5000
Teraz pomocou pingu určitým spôsobom získame prístup k nášmu NAS (obr. 10)
Tým je nastavenie dokončené. Ak je všetko správne, tak nakoniec máme v sekciiIP->Firewall tab Pravidlá filtrovania dostanete obrázok ako na obr. 11
Kontrola konfigurácie
Pripojme sa cez SSH k NAS serveru (192.168.3.201) a trasme sa na PC č. 1 (192.168.5.100) a Dune (192.168.3.200) - Obr. č. 12
Obrázok č. 12 výsledky z NAS
Vidíme, že pri sledovaní k PC č. 1 pakety prechádzajú cez 192.168.3.1 a nedosiahnu cieľ. A balíky idú priamo do Duny. Zároveň pingy na internet chodia normálne (v tomto prípade na adresu 8.8.8.8).
A z PC #1 (192.168.5.100) do NAS (192.168.3.201) je sledovanie úspešné (obrázok #13).
Obr č.13 trasovanie s PC č.1
A Obr. 14 ukazuje, čo sa deje na PC, ktorý bol pripojený do siete a potom neboli vytvorené žiadne pravidlá týkajúce sa firewallu Mikrotik. V dôsledku toho tento počítač nemôže komunikovať s internetom alebo s inými zariadeniami v iných podsieťach lokálnej siete.
Obr. č. 14 je výsledkom nového PC pripojeného k sieti
závery
Podarilo sa nám nastaviť našu domácu sieť, pričom sme spojili pohodlie práce so zariadeniami v sieti bez obetovania bezpečnosti. Nasledujúce úlohy boli vyriešené:
- Konfigurácia Mikrotiku je možná cez webové rozhranie len s PC č.1
- Synlogy NAS a Dune môžu prijímať dáta z internetu, ale nemajú prístup k zariadeniam v iných podsieťach. Preto, aj keď ich firmvér má zadné vrátka pre vývojárov, NSA alebo niekoho iného, všetko, čo môžu zistiť, sú len o sebe navzájom (o NAS Synilogy alebo Dune)
- Implementovaný bezpečný vzdialený prístup odkiaľkoľvek na internete na inštaláciu doma na stiahnutie potrebného softvéru pre NAS Synilogy
- Neautorizované zariadenia pripojené k sieti majú prístup len v rámci podsiete, do ktorej sú pripojené, a nemôžu prenášať dáta do internetu.
O domácich sieťach už bolo povedané veľa krásnych slov, tak poďme hneď na vec.
Domáca sieť si vyžaduje opatrný a opatrný prístup. Potrebuje ochranu pred rôznymi faktormi, konkrétne:
- pred hackermi a sieťovými nešťastiami, ako sú vírusy a nedbalí používatelia;
- atmosférické javy a nedokonalosti domácej elektrickej siete;
- ľudský faktor, teda chytanie za ruky.
Hoci je náš časopis počítačový, v tomto článku sa budeme baviť najmä o nepočítačových témach. O ochrane informácií budeme uvažovať len všeobecne, bez špecifík. Ale niektoré ďalšie aspekty si zaslúžia pozornosť, a to predovšetkým preto, že sa o nich zriedkavo hovorí.
Začnime teda rozhovor so známou témou ...
chytanie za ruky
neoplatí sa obviňovať povedomie ľudí - nádherné vybavenie s blikajúcimi svetlami nevyhnutne priťahuje každého, kto je schopný zaujať. V zásade je pre zabezpečenie domácej siete možné zabezpečiť, aby sa všetky zariadenia nachádzali v bytoch užívateľov, no niekedy je potrebné využiť podkrovnú alebo podobnú miestnosť. Zvyčajne je vhodné tam nainštalovať smerovače, rozbočovače, opakovače atď. Uverejnenie nie je problém. Najčastejšie sa správa ZhEK a DEZ stretáva na polceste a dáva povolenie. Hlavnou úlohou je to všetko dobre skryť. Keďže autor je aj užívateľom domácej siete a podieľal sa na jej tvorbe, poďme si povedať o riešeniach, ktoré sa nám zdali pohodlné. V našom prípade sa ukázalo ako celkom efektívne použiť mrežovú skrinku so zámkom, z ktorej vychádzajú drôty. Nemali by ste používať jednodielnu krabicu s malým počtom okienok, pretože tam sa počítač najmä v lete zahrieva. Súhlasíte, riešenie je jednoduché a lacné. Tým, ktorí hovoria, že krabica sa dá odtiahnuť, odpoviem: je tiež ľahké sa dostať do bytu. To isté platí aj pre „taniere“. V poslednej dobe sa objavil ďalší problém s nábojmi: je tam veľa žiaroviek, takže ich ľudia berú ako výbušné zariadenia. Drôty zostávajú: nie je možné ich skryť. Preto hrozí, že budú odrezané. Niektorí ľudia totiž fotia z vysokonapäťových zariadení. Ale ďalšou témou je už nejaký nárok na vzdelanie tých, ktorí sieť ukladajú.
elektrická bezpečnosť
Je tu viacero aspektov. Prvým je stabilná prevádzka zariadení, ktoré zabezpečujú fungovanie siete. To si vyžaduje dobré napájanie našich domácností, čo, žiaľ, nie je vždy možné. Dochádza k prepätiam a výpadkom prúdu, ľahko sa môže stať nehoda alebo bude potrebné na chvíľu vypnúť elektrinu. Samozrejme, nemôžete sa chrániť pred všetkým a sieť určite nie je taká dôležitá, aby prerušenia jej práce mali pre používateľov fatálne následky. Napriek tomu existujú zariadenia, ktoré dokážu (doslova aj obrazne) problém vyhladiť – ide o sieťové filtre. Nezachránia vás pred vypnutím, ale úplne pred prepätím. Šance na stabilnú prevádzku môžete mierne zlepšiť zakúpením niekoľkých týchto filtrov, pretože ich cena je nízka. Ďalšou etapou je UPS, ktorá je, samozrejme, drahšia, no poskytuje nové možnosti. Po prvé, je možné prežiť krátky (konkrétna dĺžka závisí od ceny) výpadok prúdu. Po druhé, rovnaká ochrana proti prepätiu. Nesmieme však zabúdať, že existujú dva zásadne odlišné typy UPS: BACK a SMART. Prvý z nich dokáže udržiavať energiu len vtedy, keď je v batérii rezerva. Ten môže komunikovať s počítačom a vypnúť ho, aby sa predišlo zlyhaniu pri neočakávanom vypnutí. Je zrejmé, že na zaistenie bezpečnosti počítačov v podkroví je zbytočné investovať do BACK UPS. Aby ste ho efektívne používali, musíte si k nemu sadnúť a v prípade potreby všetko vypnúť. Používanie SMART UPS stojí pekný cent. Tu musíte myslieť na to, čo je pre vás drahšie: prerušenia a možná strata zariadení v dôsledku náhlych odstávok alebo stovky a pol dolárov za jeden SMART UPS.
Druhým aspektom je interakcia s bežnou elektrickou sieťou. Tento problém vzniká, keď je potrebné ťahať sieťové vodiče v tesnej blízkosti napájacích káblov. V niektorých domoch sa tomu dá vyhnúť. Existujú zložité otvory a priechody, kde môžete prilepiť drôty. V našom dome napríklad také diery nie sú a drôty sme ťahali pozdĺž stúpačky vedľa telefónnej linky. Úprimne povedané, je to veľmi nepohodlné. Ťahali sme krútenou dvojlinkou a je mimoriadne ťažké vložiť viac ako päť drôtov do malého otvoru bez toho, aby sa prerušila telefónna linka. napriek tomu je to možné. V našom prípade ostávalo dúfať, že k rušeniu nedôjde. Môžete si, samozrejme, kúpiť tienený krútený párový kábel, ale ten sa vám bude hodiť len vtedy, ak sa pomiešajú sieťové a napájacie vodiče. V skutočnosti rušenie nie je častou záležitosťou, pretože frekvencie prenosu signálu sú príliš odlišné. Čo je ešte spojené s napájacími vodičmi, je uzemnenie. Vec je určite užitočná, ale v starých domoch jednoducho nie je uzemnenie. V našom dome je vo všeobecnosti situácia anomálna: v dome sú elektrické sporáky, trojfázová sieť, je tu pracovná nula, ale nie je tam žiadna zem. V zásade je uzemnenie k batérii chladiča možné, pokiaľ to, samozrejme, nikoho okrem vás nenapadlo predtým. U nas uz niekto cosi uzemnil - teraz v mojom byte je napatie medzi kúrením a zemným kontaktom cca 120 V, co nie je moc slabé, dovolím si Vás ubezpečiť.
A tretím aspektom sú vzdušné, čiže medzidomové prepojenia. Hovoríme, samozrejme, o sieťových kábloch. Keďže vzdialenosti sú zvyčajne dosť veľké, použitie krúteného páru je náročné (jeho obmedzenie je 80 m). Preto zvyčajne hodia koaxiálny drôt, v ktorom je druhý kanál obrazovkou pre prvý. Je pravda, že na tejto obrazovke je indukované vôbec čokoľvek. Búrky sú nebezpečné najmä vtedy, keď sa môže nahromadiť skutočne veľká nálož. K čomu to vedie je zrejmé: náboj sa dostane na sieťovú kartu počítača v podkroví a s vysokou pravdepodobnosťou zničí ju alebo dokonca celý počítač. Na ochranu proti tomu existujú zariadenia nazývané chrániče, ktoré sú inštalované na koncoch drôtov. Tiež však nie sú dokonalé a niekedy ich prelomia. Existuje aj takzvaný kufrový koax s prídavnou obrazovkou, ktorá nijako nesúvisí s dátami, no tento drôt je ešte drahší ako bežný krútený pár.
A teraz sa obraciame na hlavný problém pre networkerov – informačnú bezpečnosť.
Informačná bezpečnosť
a to je podľa mňa najzaujímavejšia otázka, ktorej sa však budeme podrobne venovať v ďalších článkoch tohto špeciálneho čísla.
Pri viac-menej slušnom počte používateľov má sieť vlastný poštový server, DNS a veľmi často aj vlastnú stránku. Poskytovateľovi tak zostáva len kanál a všeobecné štatistiky. Typ kanála môže byť ľubovoľný - rádiový alebo optický, čo nie je podstatné. Budovanie siete je nevyhnutné.
Prvým problémom je používateľský vzťah. Pokiaľ sa spájate s priateľmi v jednom dome, nič to nie je. Poznáte sa a ako sa hovorí, ľudia nie sú náhodní. Hráte spolu cez sieť, vymieňate si súbory, uverejňujete zaujímavé programy na svoje sieťové disky, aby ich každý videl atď. Keď sa sieť rozšíri, objavia sa noví ľudia, nové záujmy. Niektorí úprimne začínajú testovať svoje hackerské schopnosti. Poviete si, že toto treba v zárodku uštipnúť, doživotne vypnúť atď. atď. Všetko je správne - je potrebné trestať, ale takéto útoky musíte vedieť odraziť. Jednoducho, musíte byť pripravení na to, že niekto zvnútra môže zasadiť prasa. Niekedy sa to stane bez zavinenia používateľa, presnejšie, nie jeho priamou vinou (možno má vírus, ktorý kazí život jeho susedom), ale v žiadnom prípade nemožno ignorovať možnosť takejto situácie.
Druhým problémom je manažment, teda „admini“. Hoci je sieť jednoduchá, mali by existovať správcovia. Zároveň by ste si nemali myslieť, že to môže byť každý, kto aspoň trochu rozumie UNIXu. Toto je vážna práca, ktorú je potrebné vykonať: monitorovať sieť, rýchlo reagovať na poruchy. A, samozrejme, musíte rozumieť administrácii: vedieť správne nastaviť bránu, firewall, organizovať štatistiky, poštu a možno aj niečo iné. To všetko by malo fungovať stabilne a rýchlo. Navyše, manažment siete má aj finančnú zodpovednosť. Dostávajú peniaze za prevádzku siete. A je logické, že ľudia očakávajú, že za tieto peniaze dostanú normálne kvalitné pripojenie. Situácia sa zhoršuje najmä vtedy, keď je veľa používateľov. Nie každému môže byť sympatické, že sú tam povedzme traja admini, 150 používateľov a celkovo má externý poskytovateľ nehodu.
Tretím problémom je štatistika. Je ľahké organizovať. Existuje pomerne veľa programov, ktoré vykonávajú fakturáciu, to znamená prácu s účtami av našom prípade účtovníctvo dopravy. Inštalácia takéhoto programu, pochopenie jeho práce a začatie počítania každého bajtu je jednoduchá záležitosť. Len nezabudnite urobiť zálohy. Najlepšie každý deň. bolo by pekné robiť také kópie všetkých materiálov a súborov, ktoré sú majetkom celej siete, ale dôležité sú najmä informácie o užívateľoch a ich štatistikách.
A na záver priamo informácie. Po prvé, je to brána. Je potrebné na ňom nakonfigurovať firewall tak, aby bola sieť skutočne bezpečná. Aby ste to dosiahli, musíte si prenášať iba svoje pakety, kontrolovať, čo sa deje vo vnútri siete, samozrejme sledovať pokusy o prienik a neustále aktualizovať systém. Po druhé, je to pošta. Bolo by pekné skontrolovať poštu na vírusy hneď, ako dorazí na poštový server siete. To vám môže neskôr ušetriť veľa problémov. Ak sú používatelia nepozorní a nastavenia ich prehliadača umožňujú vírusom preniknúť do počítača, potom takáto kontrola ochráni týchto používateľov aj ich susedov – ak sa samotný vírus šíri po sieti. Tretím je používateľská skúsenosť. Dovoľte len to, čo je nevyhnutné. Myslím sieťové porty. Čím menej z nich je otvorených, tým ľahšie je sledovať, čo sa na sieti deje. Ak sú herné porty alebo akékoľvek iné nefunkčné porty otvorené, potom je rozumné ich sprístupniť iba v rámci siete.
S týmto problémom úzko súvisí problém používateľov, ktorí si vytvárajú vlastné zdroje, ako sú webové servery. Zdá sa logické, že používateľ si môže nastaviť svoj vlastný server na svojom počítači. To však vytvára nové príležitosti pre neposedných hackerov. potrebuješ to? Možno. V tomto prípade však musíte ako správca monitorovať počítač tohto používateľa alebo dôverovať skúsenostiam účastníka, ktorý zvýšil svoj server.
To je možno všetko, na čo by som vás chcel upozorniť. Treba ešte raz zdôrazniť, že sieť vrátane domácej siete nie sú len počítače, porty a hackeri. Ide aj o banálne ťažkosti pri zaobchádzaní s ľuďmi, problém bezpečnosti zariadení, fyzickej a elektrickej bezpečnosti. Mnohí o tom nepremýšľajú, pretože sú jednoducho zvyknutí vidieť hotovú infraštruktúru v kancelárii alebo niekde inde, hoci pri vytváraní domácej siete sa začínajú objavovať otázky. To, čo je tu popísané, sa čiastočne udialo pri vytváraní siete na našom území. Preto sú mnohé otázky autorovi dobre známe. Možno je to pokus varovať ostatných pred chybami, ktoré sme sami urobili alebo ktorým sme sa vďaka „starším súdruhom“, ktorí už majú nejaké skúsenosti, podarilo vyhnúť.
ComputerPress 3 "2002
Úvod
Relevantnosť tejto témy spočíva v tom, že zmeny prebiehajúce v ekonomickom živote Ruska - vytvorenie finančného a úverového systému, podniky rôznych foriem vlastníctva atď. - majú významný vplyv na otázky bezpečnosti informácií. Dlho bol u nás len jeden majetok - štátny majetok, takže informácie a tajomstvá boli tiež iba štátnym majetkom, ktorý strážili mocné špeciálne služby. Problémy informačnej bezpečnosti neustále zhoršuje prenikanie technických prostriedkov na spracovanie a prenos údajov a predovšetkým počítačových systémov takmer do všetkých sfér spoločnosti. Objektmi zásahu môžu byť samotné technické prostriedky (počítače a periférie) ako vecné objekty, softvér a databázy, pre ktoré sú technické prostriedky prostredím. Každé zlyhanie počítačovej siete nie je len „morálnou“ škodou pre zamestnancov podniku a správcov siete. S rozvojom elektronických platobných technológií, „bezpapierových“ pracovných postupov a iných môže vážne zlyhanie lokálnych sietí jednoducho paralyzovať prácu celých korporácií a bánk, čo vedie k ochromujúcim materiálnym stratám. Nie je náhoda, že ochrana údajov v počítačových sieťach sa stáva jedným z najakútnejších problémov modernej informatiky. K dnešnému dňu boli sformulované dva základné princípy informačnej bezpečnosti, ktoré by mali zabezpečiť: - integritu údajov - ochranu pred zlyhaniami vedúcimi k strate informácií, ako aj neoprávnenému vytvoreniu alebo zničeniu údajov. - dôvernosť informácií a zároveň ich dostupnosť pre všetkých oprávnených užívateľov. Treba si tiež uvedomiť, že niektoré oblasti činnosti (bankové a finančné inštitúcie, informačné siete, systémy verejnej správy, obrana a špeciálne štruktúry) si vyžadujú osobitné opatrenia na zabezpečenie dát a kladú zvýšené požiadavky na spoľahlivosť informačných systémov, v súlade s povahou a dôležitosť úloh, ktoré riešia.
Ak je počítač pripojený k lokálnej sieti, potom je možné získať neoprávnený prístup k tomuto počítaču a informáciám v ňom z lokálnej siete.
Ak je lokálna sieť pripojená k iným lokálnym sieťam, používatelia z týchto vzdialených sietí sa pridajú k možným neoprávneným používateľom. Nebudeme hovoriť o dostupnosti takéhoto počítača zo siete alebo kanálov, cez ktoré sú lokálne siete pripojené, pretože na výstupoch lokálnych sietí sú pravdepodobne zariadenia, ktoré šifrujú a riadia prevádzku a boli prijaté potrebné opatrenia.
Ak je počítač pripojený priamo cez poskytovateľa k externej sieti, napríklad cez modem na internet, na vzdialenú interakciu s jeho lokálnou sieťou, potom je počítač a informácie v ňom potenciálne prístupné hackerom z internetu. A najnepríjemnejšia vec je, že hackeri môžu prostredníctvom tohto počítača pristupovať aj k zdrojom miestnej siete.
Pri všetkých takýchto spojeniach sa samozrejme používajú buď štandardné prostriedky kontroly prístupu operačného systému, alebo špecializované prostriedky ochrany pred neoprávneným prístupom, prípadne kryptografické systémy na úrovni špecifických aplikácií, prípadne oboje.
Všetky tieto opatrenia však, žiaľ, nemôžu zaručiť požadovanú bezpečnosť počas sieťových útokov, a to z nasledujúcich hlavných dôvodov:
Operačné systémy (OS), najmä WINDOWS, sú softvérové produkty vysokej zložitosti, ktoré vytvárajú veľké tímy vývojárov. Je mimoriadne ťažké vykonať podrobnú analýzu týchto systémov. V tejto súvislosti u nich nie je možné spoľahlivo zdôvodniť absenciu štandardných funkcií, chýb alebo nezdokumentovaných funkcií, ktoré boli náhodne alebo zámerne ponechané v OS a ktoré by bolo možné použiť prostredníctvom sieťových útokov, to nie je možné.
V multitaskingovom operačnom systéme, najmä WINDOWS, môže súčasne bežať mnoho rôznych aplikácií, ...
Dnes má takmer každý byt domácu sieť, ktorá spája stolné počítače, notebooky, dátové úložiská (NAS), prehrávače médií, inteligentné televízory, ale aj smartfóny, tablety a ďalšie nositeľné zariadenia. Používa sa buď káblové (Ethernet) alebo bezdrôtové (Wi-Fi) pripojenie a protokoly TCP/IP. S rozvojom technológií internetu vecí sa na web dostali domáce spotrebiče - chladničky, kávovary, klimatizácie a dokonca aj elektroinštalačné zariadenia. Vďaka riešeniam Smart Home môžeme ovládať jas osvetlenia, na diaľku upravovať mikroklímu v priestoroch, zapínať a vypínať rôzne spotrebiče – to značne uľahčuje život, no majiteľovi pokročilých riešení môže spôsobiť vážne problémy.
Žiaľ, vývojári takýchto zariadení sa zatiaľ dostatočne nestarajú o bezpečnosť svojich produktov a počet nájdených zraniteľností narastá ako huby po daždi. Nie je nezvyčajné, že zariadenie po vstupe na trh prestane byť podporované – napríklad náš televízor má firmvér z roku 2016 založený na Androide 4 a výrobca sa ho nechystá aktualizovať. Hostia tiež pridávajú problémy: je nepohodlné zakázať im prístup k Wi-Fi, ale tiež by som nechcel nikoho pustiť do mojej útulnej siete. Ktovie, aké vírusy sa môžu usadiť v mobilných telefónoch iných ľudí? To všetko nás vedie k potrebe rozdeliť domácu sieť na niekoľko izolovaných segmentov. Skúsme prísť na to, ako to urobiť, ako sa hovorí, s malým krviprelievaním a s čo najmenšími finančnými nákladmi.
Izolujte siete Wi-Fi
V podnikových sieťach je problém vyriešený jednoducho - existujú manažované prepínače s podporou virtuálnych lokálnych sietí (VLAN), rôzne smerovače, firewally a bezdrôtové prístupové body - požadovaný počet izolovaných segmentov môžete postaviť za pár hodín . Napríklad pomocou zariadenia Traffic Inspector Next Generation (TING) je úloha vyriešená niekoľkými kliknutiami. Prepínač segmentu siete pre hostí stačí pripojiť na samostatný ethernetový port a vytvoriť pravidlá brány firewall. Pre domácnosť táto možnosť nie je vhodná z dôvodu vysokých nákladov na vybavenie - najčastejšie je naša sieť riadená jedným zariadením, ktoré kombinuje funkcie smerovača, prepínača, bezdrôtového prístupového bodu a boh vie, čo ešte.
Našťastie moderné smerovače pre domácnosť (hoci je správnejšie nazývať ich smerovače) sa tiež stali veľmi inteligentnými a takmer všetky, s výnimkou možno veľmi lacných, majú schopnosť vytvoriť izolovanú hosťovskú sieť Wi-Fi. Spoľahlivosť tejto izolácie je otázkou na samostatný článok, dnes nebudeme skúmať firmvér domácich zariadení od rôznych výrobcov. Zoberme si ako príklad ZyXEL Keenetic Extra II. Teraz sa táto línia stala jednoducho nazývanou Keenetic, ale do našich rúk sa dostalo zariadenie vydané pod značkou ZyXEL.
Nastavenie cez webové rozhranie nespôsobí ťažkosti ani začiatočníkom – pár klikov a máme samostatnú bezdrôtovú sieť s vlastným SSID, ochranou WPA2 a prístupovým heslom. Môžete do nej pustiť hostí, zapnúť televízory a prehrávače s dlho neaktualizovaným firmvérom či iných klientov, ktorým zvlášť nedôverujete. Vo väčšine zariadení od iných výrobcov je táto funkcia, opakujeme, tiež prítomná a je povolená rovnakým spôsobom. Takto je napríklad problém vyriešený vo firmvéri smerovačov D-Link pomocou sprievodcu nastavením.
Keď je zariadenie už nakonfigurované a funguje, môžete pridať hosťovskú sieť.
Snímka obrazovky z webovej stránky výrobcu
Snímka obrazovky z webovej stránky výrobcu
Izolujte siete Ethernet
Okrem klientov pripájajúcich sa k bezdrôtovej sieti sa môžeme stretnúť so zariadeniami s káblovým rozhraním. Odborníci povedia, že takzvané VLAN sa používajú na vytváranie izolovaných ethernetových segmentov – virtuálnych lokálnych sietí. Niektoré domáce smerovače podporujú túto funkciu, ale tu je úloha komplikovanejšia. Chcel by som nielen vytvoriť samostatný segment, ale musíme spojiť porty pre káblové pripojenie s bezdrôtovou sieťou pre hostí na jednom smerovači. To zďaleka nie je ťažké pre každé domáce zariadenie: povrchná analýza ukazuje, že okrem smerovačov Keenetic môžu modely MikroTik pridať aj ethernetové porty do segmentu hostí Wi-Fi, ale proces ich nastavenia nie je taký zrejmý. Ak hovoríme o domácich routeroch porovnateľnej ceny, iba Keenetic dokáže problém vyriešiť niekoľkými kliknutiami vo webovom rozhraní.
Ako vidíte, testovaný subjekt sa s problémom ľahko vyrovnal a tu stojí za to venovať pozornosť ďalšej zaujímavej funkcii - môžete tiež izolovať bezdrôtových klientov hosťovskej siete od seba. To je veľmi užitočné: smartfón vášho priateľa infikovaný malvérom bude online, ale nebude môcť zaútočiť na iné zariadenia ani v sieti pre hostí. Ak má váš router podobnú funkciu, určite by ste ju mali povoliť, aj keď to obmedzí možnosti interakcie s klientom – napríklad sa už nebude dať kamarátiť s televízorom s prehrávačom médií cez Wi-Fi, musíte použiť káblové pripojenie. V tejto fáze vyzerá naša domáca sieť bezpečnejšie.
aký je výsledok?
Počet bezpečnostných hrozieb z roka na rok rastie a výrobcovia inteligentných zariadení nie vždy venujú dostatočnú pozornosť včasnému vydávaniu aktualizácií. V takejto situácii máme jediné východisko – odlíšenie klientov domácej siete a vytvorenie izolovaných segmentov pre nich. Aby ste to dosiahli, nemusíte kupovať vybavenie za desiatky tisíc rubľov, relatívne lacné internetové centrum pre domácnosť sa s touto úlohou ľahko vyrovná. Tu by som rád varoval čitateľov pred nákupom lacných značkových zariadení. Takmer všetci výrobcovia majú teraz viac-menej rovnaký hardvér, ale kvalita vstavaného softvéru je veľmi odlišná. Rovnako ako trvanie cyklu podpory pre vydané modely. Dokonca aj s celkom jednoduchou úlohou skombinovať káblovú a bezdrôtovú sieť v izolovanom segmente nie každý router v domácnosti zvládne a možno máte aj zložitejšie. Niekedy je potrebné nakonfigurovať ďalšie segmenty alebo filtrovanie DNS na prístup iba k zabezpečeným hostiteľom, vo veľkých miestnostiach musíte pripojiť Wi-Fi klientov k sieti pre hostí cez externé prístupové body atď. atď. Okrem bezpečnostných problémov existujú aj ďalšie problémy: vo verejných sieťach je potrebné zabezpečiť registráciu klientov v súlade s požiadavkami federálneho zákona č. 97 „o informáciách, informačných technológiách a ochrane informácií“. Lacné zariadenia sú schopné vyriešiť takéto problémy, ale nie všetky - opakujeme, že funkčnosť ich vstavaného softvéru je veľmi odlišná.
