Защищаем роутер и домашнюю сеть. Домашняя сеть: безопасность со всех сторон

Защищаем роутер и домашнюю сеть. Домашняя сеть: безопасность со всех сторон
Защищаем роутер и домашнюю сеть. Домашняя сеть: безопасность со всех сторон
05.11.2019

Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника - холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы - это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.

К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться - в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.

Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто - там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа - соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования - чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.

К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции - вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.

Настройка через веб-интерфейс не вызовет затруднений даже у начинающих - несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.


Добавить гостевую сеть можно, когда устройство уже настроено и работает.


Скриншот с сайта производителя


Скриншот с сайта производителя

Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN - виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.

Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию - вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов - скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.

Что в итоге?
Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход - дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все - функциональные возможности встроенного софта у них, повторимся, очень разные.

Avast всегда пытается быть впереди, когда дело касается защиты пользователей от новых угроз. Все больше и больше людей смотрят фильмы, спортивные трансляции и телешоу на смарт ТВ. Они контролируют температуру в своих домах с помощью цифровых термостатов. Они носят смарт-часы и фитнес-браслеты. В результате потребности в безопасности расширяются за пределы персонального компьютера, чтобы охватить все устройства в домашней сети.

Тем не менее, домашние роутеры, которые являются ключевыми устройствами инфраструктуры домашней сети, часто имеют проблемы безопасности и обеспечивают простой доступ хакерам. Недавнее исследование компании Tripwire показало, что 80 процентов самых продаваемых роутеров имеют уязвимости. Более того, самые распространенные комбинации для доступа к административному интерфейсу, в частности admin/admin или admin/без пароля используется в 50 процентах роутеров по всему миру. Еще 25 процентов пользователей используют адрес, дату рождения, имя или фамилию в качестве паролей к роутеру. В результате более 75 процентов роутеров по всему миру являются уязвимыми для простых парольных атак, что открывает возможности развертывании угроз в домашней сети. Ситуация с безопасностью маршрутизаторов сегодня напоминает 1990-е, когда новые уязвимости обнаруживались каждый день.

Функция “Безопасность домашней сети”

Функция “Безопасность домашней сети” в Avast Free Antivirus , Avast Pro Antivirus , Avast Internet Security и Avast Premier Antivirus позволяет решать перечисленные проблемы с помощью сканирования настроек роутера и домашней сети на предмет потенциальных проблем. В Avast Nitro Update движок обнаружений инструмента “Безопасность домашней сети” был полностью переработан – была добавлена поддержка многопоточного сканирования и был реализован улучшенный детектор взлома DNS. Движок теперь поддерживает сканирования протокола ARP и сканирования портов, выполняемых на уровне драйвера ядра, что позволяет в несколько раз ускорить проверку по сравнению с предыдущей версией.

“Безопасность домашней сети” может автоматически блокировать атаки на роутер с кросс-сайтовыми фальшивыми запросами (CSRF). CSRF-эксплойты эксплуатируют уязвимости сайтов и позволяют киберперступникам передавать несанкционированные команды на веб-сайт. Команда имитирует инструкцию от пользователя, который известен сайту. Таким образом, киберпреступники могут выдавать себя за пользователя, например, переводить деньги жертвы без ее ведома. Благодаря CSRF-запросам, преступники могут удаленно вносить изменения в настройки роутера для того, чтобы перезаписать параметры DNS и перенаправить трафик на мошеннические сайты

Компонент “Безопасность домашней сети” позволяет сканировать настройки домашней сети и роутера на предмет потенциальных проблем безопасности. Инструмент обнаруживает слабые или стандартные пароли Wi-Fi, уязвимые роутеры, скомпрометированные подключения к Интернету и включенный, но не защищенный протокол IPv6. Avast выводит список всех устройств в домашней сети, чтобы пользователи могли проверить, что только известные устройства подключены. Компонент предоставляет простые рекомендации по устранению обнаруженных уязвимостей.

Инструмент также уведомляет пользователя о подключении новых устройств к сети, подключенным к сети телевизорам и другим устройствам. Теперь пользователь может сразу обнаружить неизвестное устройство.

Новый проактивный подход подчеркивает общую концепцию обеспечения максимальной всесторонней защиты пользователей.

Несколько лет назад домашние беспроводные сети были довольно просты и состояли, как правило, из точки доступа и пары компьютеров, которыми пользовались для доступа в Интернет, онлайн покупок или игр. Но в наше время домашние сети стали значительно сложнее. Сейчас к домашней сети подключено большое количество устройств, которые используются не только для доступа в Интернет или просмотра средств массовой информации. В этой статье мы поговорим о том, как сделать домашнюю сеть безопасной для всех членов семьи.

Безопасность беспроводной сети

Практически в каждом доме есть беспроводная сеть (или, так называемая сеть Wi-Fi). Эта сеть позволяет подключить любое устройство к Интернету, например, ноутбук, планшет или игровую приставку. Большинство беспроводных сетей управляются роутером – устройством, установленным вашим интернет-провайдером для обеспечения доступа к Интернету. Но в некоторых случаях ваша сеть может контролироваться отдельными системами, так называемыми точками доступа, которые соединены с роутером. Не зависимо от того, с помощью какой системы ваши устройства соединяются с Интернетом, принцип работы этих систем одинаков: передача радиосигналов. Различные устройства могут подключаться к Интернету и к другим устройствам вашей сети. Это означает, что безопасность вашей домашней сети является одним из основных компонентов защиты вашего дома. Мы советуем выполнять следующие правила для обеспечения безопасности вашей домашней сети:
  • Измените пароль администратора, установленный производителем Интернет роутера или точки доступа. Аккаунт администратора позволяет вносить изменения к настройкам сети. Проблема в том, что многие роутеры поставляются со стандартными, хорошо известными паролями и их легко найти в Интернете. Поэтому следует изменить заводской пароль на уникальный и сильный пароль, который будете знать только вы.
  • Измените название сети, установленное производителем (его еще называют SSID). Это имя ваши устройства видят при поиске домашней беспроводной сети. Дайте своей домашней сети уникальное имя, которое легко узнать, но оно не должно содержать личной информации. Конфигурация сети как «невидимой» - малоэффективная форма защиты. Большинство программ сканирования беспроводных сетей и любой опытный хакер может легко обнаружить «невидимые» сети.
  • Убедитесь, что к вашей сети могут подключаться только люди, которым вы доверяете, и что это соединение является зашифрованным. Это поможет повысить уровень безопасности. В настоящее время самым безопасным соединением является WPA2. При его использовании пароль запрашивается при подключении к сети, и при этом подключении используется шифрование. Убедитесь, что вы не используете устаревший метод, например, WEP, или не пользуетесь открытой сетью (которая вообще не предоставляет защиты). Открытая сеть позволяет абсолютно все подключаться к вашей беспроводной сети без аутентификации.
  • Убедитесь, что для подключения к вашей сети люди используют сильный пароль, который не совпадает с паролем администратора. Помните, что вам нужно ввести пароль для каждого используемого устройства только однажды, этот пароль устройства могут запоминать и хранить.
  • Большинство беспроводных сетей поддерживают, так называемую Гостевую Сеть (Guest Network). Это позволяет гостям выходить в Интернет, но домашняя сеть в этом случае защищена, так как гости не могут соединиться с домашними устройствами вашей сети. Если вы добавляете гостевую сеть, убедитесь, что используете WPA2, и она защищена с помощью уникального и сильного пароля.
  • Отключите Wi-Fi Protected Setup или другую настройку, позволяющую подключать новые устройства без ввода пароля и других опций конфигурации.
  • Если вам сложно запомнить все пароли, настоятельно рекомендуем использовать менеджер паролей для их хранения.
Если вопросы по перечисленным пунктам? Зайдите к провайдерам Интернета, посмотрите инструкцию к роутеру, точке доступа, или посмотрите веб сайты их производителей.

Безопасность ваших устройств

Следующим шагом является уточнение списка всех подключенных к сети устройств и обеспечение их безопасности. Это было легко сделать раньше, когда к сети было подключено небольшое количество устройств. Но в современном мире практически все устройства могут быть «постоянно подключены» к сети, включая телевизоры, игровые приставки, детские камеры, колонки, обогреватели или даже автомобили. Одним из простых способов обнаружить подключенные устройства является использование сетевого сканера, например, Fing. Это приложение, однажды установленное на компьютер, позволяет обнаружить абсолютно все устройства, подключенные к сети. После того, как вы обнаружите все устройства, следует позаботиться об их безопасности. Лучший способ обеспечить безопасность – регулярно обновлять их операционные системы/прошивки. Если возможно, настройте автоматическое обновление систем. Если есть возможность использовать пароль к каждому устройству, используйте только сильный и надежный пароль. И, наконец, посетите веб сайт Интернет провайдера для получения информации о бесплатных способах защиты вашей сети.

Об авторе

Черил Конли возглавляет отдел тренинга по информационной безопасности в компании Lockheed Martin. Она использует фирменную методику The I Compaign TM для тренинга 100 000 сотрудников компании. Методика активно использует фокус-группы внутри компании и координирует глобальную программу

Безопасность компьютерных сетей обеспечивается за счет политики и практик, принятых для предотвращения и мониторинга несанкционированного доступа, неправильного использования, модификации или отключения сети и доступных для нее ресурсов. Она включает в себя авторизацию доступа к данным, которая контролируется сетевым администратором. Пользователи выбирают или назначают идентификатор и пароль или другую аутентификационную информацию, которая позволяет им получать доступ к данным и программам в пределах своих полномочий.

Сетевая безопасность охватывает множество компьютерных сетей, как государственных, так и частных, которые используются в повседневной работе, проводя транзакции и коммуникации между предприятиями, государственными учреждениями и частными лицами. Сети могут быть частными (например, внутри компании) и иными (которые могут быть открыты для доступа общественности).

Безопасность компьютерных сетей связана с организациями, предприятиями и другими типами учреждений. Это защищает сеть, а также выполняет защитные и надзорные операции. Наиболее распространенным и простым способом защиты сетевого ресурса является присвоение ему уникального имени и соответствующего пароля.

Управление безопасностью

Управление безопасностью для сетей может быть различным для разных ситуаций. Домашний или малый офис может требовать только базовой безопасности, в то время как крупным предприятиям может потребоваться обслуживание с высоким уровнем надежности и расширенное программное и аппаратное обеспечение для предотвращения взлома и рассылки нежелательных атак.

Типы атак и уязвимостей сети

Уязвимость является слабостью в дизайне, реализации, работе или внутреннем контроле. Большинство обнаруженных уязвимостей задокументированы в базе данных Common Vulnerabilitiesand Exposures (CVE).

Сети могут подвергаться атакам из различных источников. Они могут быть двух категорий: «Пассивные», когда сетевой нарушитель перехватывает данные, проходящие через сеть, и «Активные», при которых злоумышленник инициирует команды для нарушения нормальной работы сети или для проведения мониторинга с целью получить доступ к данным.

Чтобы защитить компьютерную систему, важно разобраться в типах атак, которые могут быть осуществлены против нее. Эти угрозы могут быть разделены на следующие категории.

«Задняя дверь»

Бэкдор в компьютерной системе, криптосистеме или алгоритме - это любой секретный метод обхода обычных средств проверки подлинности или безопасности. Они могут существовать по ряду причин, в том числе по причине оригинального дизайна или из-за плохой конфигурации. Они могут быть добавлены разработчиком с целью разрешить какой-либо законный доступ, или же злоумышленником по иным причинам. Независимо от мотивов их существования они создают уязвимость.

Атаки типа «отказ в обслуживании»

Атаки на отказ в обслуживании (DoS) предназначены для того, чтобы сделать компьютер или сетевой ресурс недоступным для его предполагаемых пользователей. Организаторы такой атаки могут закрыть доступ к сети отдельным жертвам, например, путем преднамеренного ввода неправильного пароля много раз подряд, чтобы вызвать блокировку учетной записи, или же перегружать возможности машины или сети и блокировать всех пользователей одновременно. В то время как сетевая атака с одного IP-адреса может быть заблокирована добавлением нового правила брандмауэра, возможны многие формы атак с распределенным отказом в обслуживании (DDoS), где сигналы исходят от большого количества адресов. В таком случае защита намного сложнее. Такие атаки могут происходить из компьютеров, управляемых ботами, но возможен целый ряд других методов, включая атаки отражения и усиления, где целые системы непроизвольно осуществляют передачу такого сигнала.

Атаки прямого доступа

Несанкционированный пользователь, получающий физический доступ к компьютеру, скорее всего, может напрямую копировать данные из него. Такие злоумышленники также могут поставить под угрозу безопасность путем внесения изменений в операционную систему, установки программных червей, клавиатурных шпионов, скрытых устройств для прослушивания или использования беспроводных мышей. Даже если система защищена стандартными мерами безопасности, их можно обойти, загрузив другую ОС или инструмент с компакт-диска или другого загрузочного носителя. предназначено для предотвращения именно таких атак.

Концепция сетевой безопасности: основные пункты

Информационная безопасность в компьютерных сетях начинается с аутентификации, связанной с введением имени пользователя и пароля. Такая ее разновидность является однофакторной. С двухфакторной аутентификацией дополнительно используется и дополнительный параметр (токен безопасности или «ключ», карточка ATM или мобильный телефон), с трехфакторной применяется и уникальный пользовательский элемент (отпечаток пальца или сканирование сетчатки).

После аутентификации брандмауэр применяет политику доступа. Эта служба безопасности компьютерной сети эффективна для предотвращения несанкционированного доступа, но этот компонент может не проверить потенциально опасный контент, такой как компьютерные черви или трояны, передаваемые по сети. Антивирусное программное обеспечение или система предотвращения вторжений (IPS) помогают обнаруживать и блокировать действие таких вредоносных программ.

Система обнаружения вторжений, основанная на сканировании данных, может также отслеживать сеть для последующего анализа на высоком уровне. Новые системы, объединяющие неограниченное машинное обучение с полным анализом сетевого трафика, могут обнаруживать активных сетевых злоумышленников в виде вредоносных инсайдеров или целевых внешних вредителей, которые взломали пользовательский компьютер или учетную запись.

Кроме того, связь между двумя хостами может быть зашифрована для обеспечения большей конфиденциальности.

Защита компьютера

В обеспечении безопасности компьютерной сети применяются контрмеры - действия, устройства, процедура или техника, которые уменьшают угрозу, уязвимость или атаку, устраняя или предотвращая ее, минимизируя причиненный вред или обнаруживая и сообщая о его наличии.

Безопасное кодирование

Это одна из основных мер безопасности компьютерных сетей. В разработке программного обеспечения безопасное кодирование направлено на предотвращение случайного внедрения уязвимостей. Также возможно создать ПО, разработанное с нуля для обеспечения безопасности. Такие системы «безопасны по дизайну». Помимо этого, формальная проверка направлена ​​на то, чтобы доказать правильность алгоритмов, лежащих в основе системы. Это особенно важно для криптографических протоколов.

Данная мера означает, что программное обеспечение разрабатывается с нуля для обеспечения безопасности информации в компьютерных сетях. В этом случае она считается основной особенностью.

Некоторые из методов этого подхода включают:

  1. Принцип наименьших привилегий, при котором каждая часть системы имеет только определенные полномочия, необходимые для ее функционирования. Таким образом, даже если злоумышленник получает доступ к этой части, он получит ограниченные полномочия относительно всей системы.
  2. Кодовые обзоры и модульные тесты - это подходы к обеспечению большей безопасности модулей, когда формальные доказательства корректности невозможны.
  3. Глубокая защита, где дизайн таков, что необходимо нарушить несколько подсистем, чтобы нарушить целостность системы и информацию, которую она хранит. Это более глубокая техника безопасности компьютерных сетей.

Архитектура безопасности

Организация Open Security Architecture определяет архитектуру IT-безопасности как "артефакты дизайна, которые описывают расположение элементов управления безопасностью (контрмеры безопасности) и их взаимосвязь с общей архитектурой информационных технологий". Эти элементы управления служат для поддержания таких атрибутов качества системы, как конфиденциальность, целостность, доступность, ответственность и гарантии.

Другие специалисты определяют ее как единый дизайн безопасности компьютерных сетей и безопасности информационных систем, который учитывает потребности и потенциальные риски, связанные с определенным сценарием или средой, а также определяет, когда и где применять определенные средства.

Ключевыми ее атрибутами являются:

  • отношения разных компонентов и того, как они зависят друг от друга.
  • определение мер контроля на основе оценки рисков, передовой практики, финансов и правовых вопросов.
  • стандартизации средств контроля.

Обеспечение безопасности компьютерной сети

Состояние «безопасности» компьютера - идеал, достигаемый при использовании трех процессов: предотвращения угрозы, ее обнаружения и ответа на нее. Эти процессы основаны на различных политиках и системных компонентах, которые включают следующее:

  1. Элементы управления доступом к учетной записи пользователя и криптографию, которые могут защищать системные файлы и данные.
  2. Брандмауэры, которые на сегодняшний день являются наиболее распространенными системами профилактики с точки зрения безопасности компьютерных сетей. Это связано с тем, что они способны (в том случае, если их правильно настроить) защищать доступ к внутренним сетевым службам и блокировать определенные виды атак посредством фильтрации пакетов. Брандмауэры могут быть как аппаратными, так и программными.
  3. Системы обнаружения вторжений (IDS), которые предназначены для обнаружения сетевых атак в процессе их осуществления, а также для оказания помощи после атаки, в то время как контрольные журналы и каталоги выполняют аналогичную функцию для отдельных систем.

«Ответ» обязательно определяется оцененными требованиями безопасности отдельной системы и может охватывать диапазон от простого обновления защиты до уведомления соответствующих инстанций, контратаки и т. п. В некоторых особых случаях лучше всего уничтожить взломанную или поврежденную систему, так как может случиться, что не все уязвимые ресурсы будут обнаружены.

Что такое брандмауэр?

Сегодня система безопасности компьютерной сети включает в себя в основном «профилактические» меры, такие как брандмауэры или процедуру выхода.

Брандмауэр можно определить как способ фильтрации сетевых данных между хостом или сетью и другой сетью, такой как Интернет. Он может быть реализован как программное обеспечение, запущенное на машине и подключающееся к сетевому стеку (или, в случае UNIX-подобных систем, встроенное в ядро ​​ОС), чтобы обеспечить фильтрацию и блокировку в реальном времени. Другая реализация - это так называемый «физический брандмауэр», который состоит из отдельной фильтрации сетевого трафика. Такие средства распространены среди компьютеров, которые постоянно подключены к Интернету, и активно применяются для обеспечения информационной безопасности компьютерных сетей.

Некоторые организации обращаются к крупным платформам данных (таким как Apache Hadoop) для обеспечения доступности данных и машинного обучения для обнаружения передовых постоянных угроз.

Однако относительно немногие организации поддерживают компьютерные системы с эффективными системами обнаружения, и они имеют еще меньше механизмов организованного реагирования. Это создает проблемы обеспечения технологической безопасности компьютерной сети. Основным препятствием для эффективного искоренения киберпреступности можно назвать чрезмерную зависимость от брандмауэров и других автоматизированных систем обнаружения. Тем не менее это основополагающий сбор данных с использованием устройств захвата пакетов, которые останавливают атаки.

Управление уязвимостями

Управление уязвимостями - это цикл выявления, устранения или смягчения уязвимостей, особенно в программном обеспечении и прошивке. Этот процесс является неотъемлемой частью обеспечения безопасности компьютерных систем и сетей.

Уязвимости можно обнаружить с помощью сканера, который анализирует компьютерную систему в поисках известных «слабых мест», таких как открытые порты, небезопасная конфигурация программного обеспечения и беззащитность перед вредоносным ПО.

Помимо сканирования уязвимостей, многие организации заключают контракты с аутсорсингами безопасности для проведения регулярных тестов на проникновение в свои системы. В некоторых секторах это контрактное требование.

Снижение уязвимостей

Несмотря на то, что формальная проверка правильности компьютерных систем возможна, она еще не распространена. Официально проверенные ОС включают в себя seL4 и SYSGO PikeOS, но они составляют очень небольшой процент рынка.

Современные компьютерные сети, обеспечивающие безопасность информации в сети, активно используют двухфакторную аутентификацию и криптографические коды. Это существенно снижает риски по следующим причинам.

Взлом криптографии сегодня практически невозможен. Для ее осуществления требуется определенный некриптографический ввод (незаконно полученный ключ, открытый текст или другая дополнительная криптоаналитическая информация).

Это метод смягчения несанкционированного доступа к системе или конфиденциальной информации. Для входа в защищенную систему требуется два элемента:

  • «то, что вы знаете» - пароль или PIN-код;
  • «то, что у вас есть» - карта, ключ, мобильный телефон или другое оборудование.

Это повышает безопасность компьютерных сетей, так как несанкционированный пользователь нуждается в обоих элементах одновременно для получения доступа. Чем жестче вы будете соблюдать меры безопасности, тем меньше взломов может произойти.

Можно снизить шансы злоумышленников, постоянно обновляя системы с исправлениями функций безопасности и обновлениями, использованием специальных сканеров. Эффект потери и повреждения данных может быть уменьшен путем тщательного создания резервных копий и хранения.

Механизмы защиты оборудования

Аппаратное обеспечение тоже может быть источником угрозы. Например, взлом может быть осуществлен с использованием уязвимостей микрочипов, злонамеренно введенных во время производственного процесса. Аппаратная или вспомогательная безопасность работы в компьютерных сетях также предлагает определенные методы защиты.

Использование устройств и методов, таких как ключи доступа, доверенные модули платформы, системы обнаружения вторжений, блокировки дисков, отключение USB-портов и доступ с поддержкой мобильной связи, могут считаться более безопасными из-за необходимости физического доступа к сохраненным данным. Каждый из них более подробно описан ниже.

Ключи

USB-ключи обычно используются в процессе лицензирования ПО для разблокировки программных возможностей, но они также могут рассматриваться как способ предотвращения несанкционированного доступа к компьютеру или другому устройству. Ключ создает безопасный зашифрованный туннель между ним и программным приложением. Принцип заключается в том, что используемая схема шифрования (например, AdvancedEncryptionStandard (AES)), обеспечивает более высокую степень информационной безопасности в компьютерных сетях, поскольку сложнее взломать и реплицировать ключ, чем просто скопировать собственное ПО на другую машину и использовать его.

Еще одно применение таких ключей - использование их для доступа к веб-контенту, например, облачному программному обеспечению или виртуальным частным сетям (VPN). Кроме того, USB-ключ может быть сконфигурирован для блокировки или разблокировки компьютера.

Защищенные устройства

Защищенные устройства доверенных платформ (TPM) интегрируют криптографические возможности на устройства доступа, используя микропроцессоры или так называемые компьютеры на кристалле. TPM, используемые в сочетании с программным обеспечением на стороне сервера, предлагают оригинальный способ обнаружения и аутентификации аппаратных устройств, а также предотвращение несанкционированного доступа к сети и данным.

Обнаружение вторжений в компьютер осуществляется посредством кнопочного выключателя, который срабатывает при открытии корпуса машины. Прошивка или BIOS запрограммированы на оповещение пользователя, когда устройство будет включено в следующий раз.

Блокировка

Безопасность компьютерных сетей и безопасность информационных систем может быть достигнута и путем блокировки дисков. Это, по сути, программные инструменты для шифрования жестких дисков, делающие их недоступными для несанкционированных пользователей. Некоторые специализированные инструменты разработаны специально для шифрования внешних дисков.

Отключение USB-портов - это еще один распространенный параметр безопасности для предотвращения несанкционированного и злонамеренного доступа к защищенному компьютером. Зараженные USB-ключи, подключенные к сети с устройства внутри брандмауэра, рассматриваются как наиболее распространенная угроза для компьютерной сети.

Мобильные устройства с поддержкой сотовой связи становятся все более популярными из-за повсеместного использования сотовых телефонов. Такие встроенные возможности, как Bluetooth, новейшая низкочастотная связь (LE), ближняя полевая связь (NFC) привели к поиску средств, направленных на устранение уязвимостей. Сегодня активно используется как биометрическая проверка (считывание отпечатка большого пальца), так и программное обеспечение для чтения QR-кода, предназначенное для мобильных устройств. Все это предлагает новые, безопасные способы подключения мобильных телефонов к системам контроля доступа. Это обеспечивает компьютерную безопасность, а также может использоваться для контроля доступа к защищенным данным.

Возможности и списки контроля доступа

Особенности информационной безопасности в компьютерных сетях основаны на разделении привилегий и степени доступа. Широко распространены две такие модели - это списки управления доступом (ACL) и безопасность на основе возможностей.

Использование ACL для ограничения работы программ оказалось во многих ситуациях небезопасным. Например, хост-компьютер можно обмануть, косвенно разрешив доступ к ограниченному файлу. Было также показано, что обещание ACL предоставить доступ к объекту только одному пользователю никогда не может быть гарантировано на практике. Таким образом, и сегодня существуют практические недостатки во всех системах на основе ACL, но разработчики активно пытаются их исправить.

Безопасность на основе возможностей в основном применяется в исследовательских операционных системах, в то время как коммерческие ОС по-прежнему используют списки ACL. Однако возможности могут быть реализованы только на уровне языка, что приводит к специфическому стилю программирования, который по существу является уточнением стандартного объектно-ориентированного дизайна.

Главную угрозу безопасности ваших данных несет Всемирная паутина. Как обеспечить надежную защиту домашней сети?

Зачастую пользователи ошибочно полагают, что для защиты подсоединенного к Интернету домашнего ПК вполне достаточно обычного антивируса. В заблуждение вводят и надписи на коробках роутеров, гласящие, что в этих устройствах на аппаратном уровне реализован мощный брандмауэр, способный защитить от хакерских атак. Эти утверждения верны лишь отчасти. Прежде всего, оба инструмента требуют грамотной настройки. При этом многие антивирусные пакеты просто не снабжены такой функцией, как брандмауэр.

Между тем грамотное построение защиты начинается уже с самого соединения с Интернетом. В современных домашних сетях, как правило, применяют Wi-Fi-роутеры с использованием кабельного Ethetnet-соединения. Через локальную сеть выход в Интернет имеют настольные компьютеры и ноутбуки, смартфоны и планшеты. Причем в единой связке находятся как сами ПК, так и периферийные устройства, такие как принтеры и сканеры, многие из которых подключаются именно через сеть.

Взломав вашу точку доступа, злоумышленник может не только пользоваться вашим подключением к Интернету и управлять домашними компьютерными устройствами, но и размещать во Всемирной паутине незаконный контент, используя ваш IP-адрес, а также похитить информацию, хранящуюся на оборудовании, подключенном к сети. Сегодня поговорим об основных правилах защиты сетей, поддержания их работоспособности и профилактики от взлома.

Аппаратные средства

Современное сетевое оборудование в большинстве своем требует настройки средств безопасности. Прежде всего речь идет о различных фильтрах, сетевых экранах и списках доступа по расписанию. Параметры защиты может задать и неподготовленный пользователь, однако следует знать некоторые нюансы.

ИСПОЛЬЗУЕМ ШИФРОВАНИЕ ТРАФИКА Настраивая точку доступа, позаботьтесь о включении наиболее надежных механизмов защиты трафика, создайте сложный, бессмысленный пароль и используйте протокол WPA2 с алгоритмом шифрования AES. Протокол WEP устарел и может быть взломан за считаные минуты.

РЕГУЛЯРНО МЕНЯЕМ УЧЕТНЫЕ ДАННЫЕ Устанавливайте надежные пароли доступа и регулярно (например, раз в полгода) меняйте их. Проще всего взломать устройство, на котором пользователь оставил стандартные логин и пароль «admin»/«admin».

СКРЫВАЕМ SSID Параметр SSID (Service Set Identifier) - это публичное имя беспроводной сети, которое транслируется в эфир, чтобы его могли видеть пользовательские устройства. Использование опции скрытия SSID позволит защититься от начинающих взломщиков, но тогда для подключения новых устройств необходимо будет вручную вводить параметры точки доступа.

СОВЕТ При первичной настройке точки доступа поменяйте SSID, так как это имя отображает модель роутера, что может послужить подсказкой взломщику при поиске уязвимостей.

НАСТРАИВАЕМ ВСТРОЕННЫЙ БРАНДМАУЭР Маршрутизаторы в большинстве случаев оснащаются простыми версиями сетевых экранов. С их помощью не удастся досконально настроить множество правил для безопасной работы в сети, но можно перекрыть основные уязвимости, или, например, запретить работу почтовых клиентов.

ОГРАНИЧЕНИЕ ДОСТУПА ПО MAC-АДРЕСАМ Используя списки MAC-адресов (Media Access Control), можно запретить доступ к локальной сети тем устройствам, физические адреса которых не внесены в такой перечень. Для этого вам потребуется вручную создать списки допущенного к сети оборудования. У каждого устройства, снабженного сетевым интерфейсом, есть уникальный, присваиваемый ему на заводе MAC-адрес. Его можно узнать, посмотрев на этикетку или маркировку, нанесенную на оборудование, либо с помощью специальных команд и сетевых сканеров. При наличии веб-интерфейса или дисплея (например, у роутеров и сетевых принтеров) MAC-адрес вы найдете в меню настроек.
MAC-адрес сетевой карты компьютера можно узнать в ее свойствах. Для этого нужно зайти в меню «Панель управления | Сети и Интернет | Центр управления сетями и общим доступом», затем в левой части окна перейти по ссылке «Изменение параметров адаптера», кликнуть правой клавишей мыши по используемой сетевой карте и выбрать пункт «Состояние». В открывшемся окне нужно нажать на кнопку «Сведения» и посмотреть строку «Физический адрес», где будут отображены шесть пар цифр, обозначающие MAC-адрес вашей сетевой карты.

Есть и более быстрый способ. Чтобы воспользоваться им, нажмите сочетание клавиш «Win+R», в появившейся строке введите CMD и кликните по «ОК». В открывшемся окне введите команду:

Нажмите «Enter». Найдите в отображенных данных строчки «Физический адрес» - это значение и является MAC-адресом.

Программные средства

Защитив сеть физически, необходимо позаботиться и о программной части «обороны». В этом вам помогут комплексные антивирусные пакеты, сетевые экраны и сканеры уязвимостей.

НАСТРАИВАЕМ ДОСТУП К ПАПКАМ Не располагайте папки с системными или просто важными данными в директориях, доступ к которым открыт пользователям внутренней сети. Кроме того, старайтесь не создавать папки, открытые для доступа из сети, на системном диске. Все подобные директории, если нет особой необходимости, лучше ограничить атрибутом «Только чтение». В противном случае в общей папке может поселиться замаскированный под документы вирус.

УСТАНАВЛИВАЕМ СЕТЕВОЙ ЭКРАН Программные сетевые экраны, как правило, просты в настройке и имеют режим самообучения. При его использовании программа спрашивает у пользователя, какие соединения он одобряет, а какие считает нужным запретить.
Рекомендуем использовать персональные брандмауэры, встроенные в такие популярные коммерческие продукты, как Kaspersky Iinternet Security, Norton internet Security, NOD Internet Security, а также бесплатные решения - например, Comodo Firewall. Штатный брандмауэр Windows, к сожалению, не может похвастаться надежным обеспечением безопасности, предоставляя лишь базовые настройки портов.

Тест на уязвимости

Наибольшую опасность для работоспособности компьютера и сети представляют программы, содержащие «дыры», и неправильно настроенные средства защиты.

XSpider Легкая в использовании программа для сканированиясети на наличие уязвимостей. Она позволит быстро выявить большинство актуальных проблем, а также предоставит их описание и, в некоторых случаях, способы устранения. К сожалению, некоторое время назад утилита стала платной, и в этом, пожалуй, ее единственный минус.

Nmap Некоммерческий сетевой сканер с открытым исходным кодом. Программа изначально разрабатывалась для пользователей UNIX, но впоследствии, благодаря возросшей популярности, была портирована на Windows. Утилита рассчитана на опытных пользователей. Nmap имеет простой и удобный интерфейс, однако разобраться в выдаваемых ею данных без базовых знаний будет непросто.

KIS 2013 Этот пакет предоставляет не только комплексную защиту, но и средства диагностики. С его помощью можно просканировать установленные программы на наличие критических уязвимостей. По итогам данной процедуры программа представит список утилит, бреши в которых нужно закрыть, при этом можно узнать подробные сведения о каждой из уязвимостей и способах ее устранения.

Советы по монтажу сети

Сделать сеть более защищенной можно не только на этапе ее разворачивания и настройки, но и когда она уже имеется. При обеспечении безопасности необходимо учитывать количество подключаемых устройств, расположение сетевого кабеля, распространение сигнала Wi-Fi и типы препятствий для него.

РАСПОЛАГАЕМ ТОЧКУ ДОСТУПА Оцените, какую территорию вам нужно ввести в зону действия Wi-Fi. Если необходимо охватить только область вашей квартиры, то не стоит размещать беспроводную точку доступа рядом с окнами. Это снизит риск перехвата и взлома слабозащищенного канала вардрайверами - людьми, охотящимися за бесплатными беспроводными точками доступа в Интернет и использующими в том числе и незаконные методы. При этом следует учитывать, что каждая бетонная стена снижает мощность сигнала вдвое. Также помните, что зеркало платяного шкафа является практически непроницаемым экраном для Wi-Fi-сигнала, что в отдельных случаях можно использовать для предотвращения распространения радиоволн в определенных направлениях в квартире. Кроме того, некоторые Wi-Fi-роутеры позволяют аппаратно настроить мощность сигнала. Благодаря этой опции вы можете искусственно обеспечить доступ только для пользователей, находящихся в помещении с точкой доступа. Недостатком такого метода является возможное отсутствие сигнала в удаленных местах вашей квартиры.


ПРОКЛАДЫВАЕМ КАБЕЛИ Сеть, организованная преимущественно с использованием кабеля, обеспечивает наивысшие скорость и надежность связи, и при этом исключается возможность вклинивания в нее со стороны, как это может произойти с соединением по Wi-Fi. возможность вклинивания в нее со стороны, как это может произойти с соединением по Wi-Fi.
Чтобы избежать несанкционированного подключения, при прокладке кабельной сети позаботьтесь о защите проводов от механических повреждений, используйте специальные кабель-каналы и не допускайте участков, на которых шнур будет слишком сильно провисать или, наоборот, чрезмерно натянут. Не прокладывайте кабель рядом с источниками сильных помех или в зоне с плохой средой (критические температуры и влажность). Также вы можете использовать экранированный кабель, обладающий дополнительной защитой.

ЗАЩИЩАЕМСЯ ОТ СТИХИИ Проводные и беспроводные сети подвержены влиянию грозы, причем в некоторых случаях удар молнии может вывести из строя не только сетевое оборудование или сетевую карту, но и множество компонентов ПК. Для уменьшения риска прежде всего не забывайте о заземлении электрических розеток и компонентов ПК. Используйте устройства типа Pilot, в которых применяются защитные схемы от помех и скачков напряжения.
Кроме того, лучшим решением может стать источник бесперебойного питания (ИБП). Современные версии включают в себя как стабилизаторы напряжения и автономное питание, так и специальные разъемы для подключения через них сетевого кабеля. Если вдруг в оборудование интернет-провайдера ударит молния, такой ИБП не пропустит вредоносный скачок напряжения в сетевую карту вашего ПК. Стоит помнить, что в любом случае заземление розеток или самого оборудования чрезвычайно важно.


Использование средств построения VPN-туннелей
Довольно надежным способом защиты передаваемой по сети информации являются VPN-туннели (Virtual Private Network). Технология туннелирования позволяет создать зашифрованный канал, по которому передаются данные между несколькими устройствами. Организация VPN с целью повышения защиты информации возможна внутри домашней сети, однако это весьма трудоемко и требует специальных знаний. Наиболее распространенный метод использования VPN - подключение к домашнему ПК извне, например с рабочего компьютера. Таким образом передаваемые между вашими машинами данные будут хорошо защищены шифрованием трафика. Для этих целей лучше использовать весьма надежную бесплатную программу Hamachi. В данном случае потребуются лишь базовые знания по организации VPN, что по силам и неподготовленному пользователю.