Пример безопасной настройки домашней локальной сети. Обеспечение безопасности компьютерных сетей
Когда я просматривал статистику поисковой системы Яндекс, то обратил внимание, что запрос: "Безопасность домашней сети" - запрашивается лищь 45 раз в месяц, что, скажем прямо, довольно прискорбно.
Чтобы не быть голословным, хочу рассказать одну занимательную историю из своей жизни. Некоторое время назад ко мне зашел сосед, который решил приобщиться к современной жизни и приобрел себе ноутбук, маршрутизатор, ну и озаботился тем, чтобы подключиться к сети интернет.
Маршрутизатор сосед купил марки D-Link DIR-300-NRU , а у этой модели имеется такая особенность. По умолчанию, в качестве имени беспроводной сети (SSID), он использует название бренда. Т.е. в списке доступных сетей обнаруживается сеть с именем dlink. Дело в том, что большинство производителей "зашивают" в настройки название сети в виде марки и модели (например, Trendnet-TEW432 и т.п.).
Так вот, увидел я в списке сетей dlink и сразу же к нему подключился. Сразу же оговорюсь, что любой маршрутизатор (кроме Wi-Spotов и прочей экзотики, которая не имеет сетевых проводных интерфейсов RJ-45) обязательно нужно настраивать, подключившись к нему по проводу. На практике, я могу сказать, что можно и по Wi-Fi настраивать, но только не перепрошивать, - перепрошивать только по проводу, а иначе есть вероятность его серьёзно повредить . Хотя, если бы я вёл настройку маршрутизатора по проводу, то этого курьёза бы не произошло и не было бы этой истории.
Я подключаюсь к сети dlink, начинаю настраивать - меняю SSID, задаю ключ шифрования, определяю диапазон адресов, канал вещания и т.п., перезапускаю маршрутизатор и только тут до меня доходит то, что уж больно какой-то неуверенный приём, хотя маршрутизатор рядом стоит.
Да, действительно, я подключился к чужому открытому маршрутизатору и настроил его, как надо. Естественно, я сразу же вернул все настройки к исходным, чтобы владельцы маршрутизатора не расстраивались и уже настроил целевой маршрутизатор, как надо. Но, при всём при этом, могу сказать, что этот маршрутизатор до сих пор так и стоит незашифрованный и к нему может прицепиться любой желающий. Так вот, чтобы избежать таких вот ситуаций, настраиваем беспроводной маршрутизатор и читаем дальше про безопасность домашней сети .
Давайте рассмотрим, какие элементы как аппаратные, так и программные, являются защитниками сети, а какие - потенциальными брешами, включая, кстати, и человеческий фактор . Но, обо всём по порядку.
Мы не будем рассматривать, каким образом интернет приходит к вам в дом - нам достаточно понимания того, что он приходит.
И вопрос - приходит куда? На компьютер? На маршрутизатор? На беспроводную точку доступа?
Мы не будем рассматривать, каким образом интернет приходит к вам в дом - нам достаточно понимания того, что он приходит. А, между тем, это вопрос очень и очень важный и вот почему. Каждое из вышеперечисленных устройств имеет свою степень защиты от различных хакерских атак и несанкционированного доступа.
Первое место по уровне защиты от сетевых атак можно смело отдать такому устройству, как маршрутизатор (его ещё иногда называют "роутер" - это то же самое, только по-английски - Router - маршрутизатор). Аппаратную защиту "пробить" гораздо сложнее, хоть и нельзя сказать, что невозможно. Но об этом позже. Существует такая народная мудрость, которая гласит: "Чем устройство проще - тем оно надёжней" . Т.к. маршрутизатор - гораздо более простое устройство и более узкоспециализированное, то оно, конечно, надёжней.
На втором месте по уровню защиты от сетевых атак - компьютер, оснащённый различными защитными программными средствами (межсетевыми экранами, которые так же называются FireWall - дословный перевод - Огненная стена. В ОС Windows XP и более поздних этот сервис называется Брандмауэр). Функционал примерно тот же, но появляется возможность реализации двух функций, которые чаще всего невозможно сделать средствами маршрутизатора, а именно - отслеживание посещения пользователями сайтов и ограничение доступа к определенным ресурсам. Конечно, в домашних условиях такой функционал чаще всего не требуется или легко реализуется с использованием бесплатных сервисов, например, Яндекс.DNS, если вам требуется оградить своего ребёнка от нехорошего контента. Конечно, на компьютере-шлюзе иногда имеется такой приятный функционал, как "проточный" антивирус, который умеет анализировать проходящий трафик, но это не является поводом к тому, чтобы отказываться от антивируса на компьютерах-клиентах, т.к. вирус на всякий случай может прилететь в файле-архиве с паролем, а туда антивирусу никак не попасть, пока вы его не вскроете.
Беспроводная точка доступа - это прозрачный в обе стороны шлюз, через который может прилететь что угодно, поэтому использовать точки доступа имеет смысл только в сетях, защищенных аппаратным или программным файрволом (маршрутизатором или компьютером с установленным специализированным ПО).
Чаще всего в домашней сети используются беспроводные маршрутизаторы, которые оборудованы четырьмя портами для подключения компьютеров по проводу и радиомодулем, выполняющим функцию точки доступа. В этом случае сеть имеет следующий вид:
Здесь мы наглядно видим, что главный защитник нашей сети от хакерских атак - маршрутизатор, однако это не говорит о том, что вы можете чувствовать себя в абсолютной безопасности.
Функция файрвола маршрутизатора состоит в том, что он транслирует ваши запросы в интернет и полученный ответ возвращает вам. При этом, если информация никем в сети, включая ваш компьютер, не запрашивалась, то файрвол такие данные отфильтровывает, оберегая ваш покой.
Какими методами можно попасть в вашу сеть, защищенную файрволом?
Чаще всего это вирусы-трояны, которые проникают в вашу сеть вместе с зараженными скриптами или скачанными зараженными программами. Нередко вирусы распространяются в виде вложений в электронные письма или ссылок, содержащихся в теле письма (почтовые черви). В частности, так распространяется вирус-червь, который шифрует всю информацию на жестких дисках вашего компьютера, а после этого вымогает деньги за расшифровку.
Что ещё способен сделать вирус, поселившийся на вашем компьютере?
Деятельность вируса может быть самой разнообразной - от "зомбирования" компьютера или воровства данных до вымогательства денег впрямую через блокировку Windows или шифрование всех пользовательских данных.
У меня есть знакомые, утверждающие, что не встречали более бесполезной программы, чем антивирус и прекрасно обходятся без него. Если вы считаете так же, то должен предупредить, что не всегда вирус выдает себя сразу и выдает вообще. Иногда его деятельность состоит в том, чтобы принять участие в DDoS атаке какого-либо узла в интернете. Вам это ничем не грозит кроме того, что вас может заблокировать провайдер и заставить провериться на вирусы. Поэтому, даже, если на вашем компьютере нет важных данных, антивирус, хотя бы бесплатный, лучше поставить.
Если на ваш компьютер проник троян - он может открыть порт, организовать туннель и предоставить своему создателю полную власть над вашим компьютером.
Многие вирусы умеют распространяться по сети, поэтому если вирус попал на один компьютер в сети, существует вероятность его проникновения на другие компьютеры вашей домашней сети
Как уберечь себя от вирусов?
Прежде всего, необходимо установить на каждый компьютер в сети обновляющийся антивирус. В идеале коммерческий, но если с деньгами туго можно использовать бесплатные антивирусы, вроде Avast, Avira, AVG, Microsoft Security Essentials и т.п. Это, конечно, не такая эффективная защита, как у платного антивируса, но лучше уж так, чем вообще без антивируса.
Важно: Между появлением нового вируса и добавлением его описания в антивирусную базу существует некоторый "зазор", длинной от 3 дней до 2-х недель (иногда дольше). Так вот, в это время ваш компьютер может быть потенциально под угрозой заражения вирусом, даже, с обновляющимся антивирусом. Поэтому переходим к следующему этапу, а именно инструкциям, выполняя которые вы сможете уберечь себя от заражения.
В действительности, подцепить вирус вы можете даже на любимом новостном ресурсе через всякие попандеры или различные тизеры и прочую рекламу на сайте. Чтобы это предотвратить - необходимо, чтобы у вас стоял обновляющийся антивирус. Вы же со своей стороны можете выполнить следующие моменты:
1. Никогда не открывать вложения в письма и не переходить по ссылкам с этих писем, если адресат вам неизвестен. Если адресат вам известен, но письмо имеет ярко выраженный рекламный характер или из разряда - "посмотри эти фотки - ты здесь голый", то, конечно же, ни по каким ссылкам переходить не следует. Единственное, что вы можете сделать полезного в этом случае - это сообщить человеку, что он поймал вирус. Это может быть как электронное письмо, так и сообщение в Skype, ICQ, Mail.ru-агенте и прочих системах.
2. Иногда вам может прийти сообщение от "коллекторского агентства" или из "МосГорСуда" о том, что у вас какие-то неприятности - знайте, так распространяются вирусы-шифрователи, поэтому ни в коем случае не следует переходить по ссылкам и открывать вложения.
3. Обязательно обратите внимание на то, как выглядят сообщения об обнаруженных вирусах антивирусом. Запомните их внешний вид, т.к. нередко при навигации по интернету возникает сообщение, что мол обнаружен вирус, немедленно скачайте с сайта антивирус и проверьтесь. Если вы помните, как выглядит окно сообщений антивируса, то всегда сможете понять - антивирус вас предупреждает или это "обманка". Да, и антивирус никогда не будет требовать скачать с данного сайта какое-то дополнение - это первый признак вируса. Не попадайтесь, а то потом придется вызывать специалиста лечить компьютер от вируса-вымогателя.
4. Вы скачали архив с какой-то программой или ещё чем-то, но при открытии файла требуют отправить смс и получить код - ни в коем случае этого не делайте, как бы ни были убедительны доводы, приведённые в окне. Вы отправите 3 смс, стоимостью по 300 рублей каждая и внутри увидите инструкцию по скачиванию файлов с торрентов.
6. Если вы используете беспроводную сеть Wi-Fi - вам необходимо установить ключ шифрования сети. Если у вас открытая сеть, то все желающие могут к ней подключиться. Опасность состоит не в том, что кто-то, кроме вас, будет пользоваться вашим интернетом, а в том, что он попадает в вашу домашнюю сеть, в которой наверняка используются какие-то общие ресурсы, которые нежелательно выставлять на всеобщее обозрение. О создании сети с использованием технологии Wi-Fi вы так же можете прочитать статью.
Вместо подведения итогов
Теперь мы знаем, что каким бы дорогим и качественным не был наш защитник - маршрутизатор, если не принимать определенных мер, то можно заразить свой компьютер вирусом, а попутно создать угрозу для всей сети. Ну, и, конечно же, нельзя забывать о том, что ключ шифрования вашей беспроводной сети так же является очень важным фактором.
Правила информационной безопасности в данном случае должен соблюдать как провайдер, так и его клиент. Иными словами, существуют две точки уязвимости (на стороне клиента и на стороне провайдера), причем каждый из участников этой системы вынужден отстаивать свои интересы.
Взгляд со стороны клиента
Для ведения бизнеса в электронной среде требуются высокоскоростные каналы передачи данных, и если раньше основные деньги провайдеров делались на подключении к Internet, то сейчас клиенты предъявляют довольно жесткие требования к защищенности предлагаемых услуг.
На Западе появился целый ряд аппаратных устройств, обеспечивающих защищенное подключение к домашним сетям. Как правило, они так и называются «решениями SOHO» и совмещают в себе аппаратный межсетевой экран, концентратор с несколькими портами, DHCP-сервер и функции VPN-маршрутизатора. Например, именно по такому пути пошли разработчики Cisco PIX Firewall и WatchGuard FireBox. Программные межсетевые экраны остались только на персональном уровне, причем используются они как дополнительное средство защиты.
Разработчики аппаратных межсетевых экранов класса SOHO считают, что эти устройства должны быть простыми в управлении, «прозрачными» (то есть невидимыми) для пользователя домашней сети и соответствовать по стоимости размеру прямого ущерба от возможных действий злоумышленников. Средняя величина ущерба при успешной атаке на домашнюю сеть оценивается примерно в 500 долл.
Для защиты домашней сети можно использовать и программный межсетевой экран или попросту удалить лишние протоколы и сервисы из конфигурационных настроек. Лучший из вариантов - если провайдер протестирует несколько персональных межсетевых экранов, настроит на них свою собственную систему безопасности и обеспечит их техническое сопровождение. В частности, именно так поступает провайдер 2COM, который предлагает своим клиентам набор протестированных экранов и советы по их настройке. В простейшем случае рекомендуется объявить опасными почти все сетевые адреса, кроме адресов локального компьютера и шлюза, через который устанавливается соединение с Internet. Если программный или аппаратный экран на стороне клиента обнаружил признаки вторжения, об этом требуется незамедлительно сообщить в службу технической поддержки провайдера.
Следует отметить, что межсетевой экран защищает от внешних угроз, но не спасает от ошибок самого пользователя. Поэтому, даже если провайдер или клиент установил некую систему защиты, обе стороны все равно должны соблюдать ряд достаточно простых правил, позволяющих минимизировать вероятность нападений. Во-первых, следует оставлять как можно меньше личной информации в Internet, стараться избегать оплаты кредитными карточками или по крайней мере проверять наличие цифрового сертификата у сервера. Во-вторых, не стоит загружать из Сети и запускать на своем компьютере любые программы, особенно бесплатные. Не рекомендуется также делать локальные ресурсы доступными извне, устанавливать поддержку ненужных протоколов (таких, как IPX или SMB) или использовать настройки по умолчанию (например, скрытие расширений файлов).
Особенно опасно исполнять сценарии, прикрепленные к письмам электронной почты, а лучше вообще не пользоваться Outlook, поскольку большинство вирусов написано именно для этого почтового клиента. В некоторых случаях для работы с электронной почтой безопаснее применять службы Web-mail, поскольку вирусы, как правило, через них не распространяются. Например, провайдер 2COM предлагает бесплатный Web-сервис, позволяющий считывать информацию из внешних почтовых ящиков и загружать на локальную машину только нужные сообщения.
Провайдеры обычно не предоставляют услуги защищенного доступа. Дело в том, что уязвимость клиента зачастую зависит и от его собственных действий, поэтому в случае успешной атаки достаточно сложно доказать, кто именно допустил ошибку - клиент или провайдер. Кроме того, факт нападения еще нужно зафиксировать, а сделать это можно только с помощью проверенных и сертифицированных средств. Оценить ущерб, нанесенный взломом, тоже непросто. Как правило, определяется только его минимальное значение, характеризуемое временем на восстановление штатной работы системы.
Провайдеры могут обеспечить безопасность почтовых служб, проверяя всю входящую корреспонденцию с помощью антивирусных программ, а также блокировав все протоколы, кроме основных (Web, электронной почты, новостей, ICQ, IRC и некоторых других). Операторам не всегда удается проследить, какие события происходят во внутренних сегментах домашней сети, но, поскольку они вынуждены защищаться от внешних нападений (что согласуется и с политикой защиты пользователей), клиентам нужно взаимодействовать с их службами безопасности. Следует помнить, что провайдер не гарантирует абсолютной безопасности пользователей - он лишь преследует собственную коммерческую выгоду. Часто атаки на абонентов связаны с резким всплеском объема передаваемой им информации, на чем, собственно говоря, и зарабатывает деньги оператор. Это значит, что интересы провайдера иногда могут противоречить интересам потребителя.
Взгляд со стороны провайдера
Для провайдеров услуг домашних сетей основными проблемами являются несанкционированное подключение и большой внутренний трафик. Домашние сети часто служат для проведения игр, которые не выходят за пределы локальной сети одного жилого дома, но могут привести к блокировке целых ее сегментов. В этом случае работать в Internet становится сложно, что вызывает справедливое недовольство коммерческих клиентов.
С точки зрения финансовых затрат провайдеры заинтересованы в минимизации средств, используемых для обеспечения защиты и контроля домашней сети. Вместе с тем они не всегда могут организовать должную защиту клиента, поскольку для этого требуются определенные затраты и ограничения и со стороны пользователя. К сожалению, с этим согласны далеко не все абоненты.
Обычно домашние сети устроены следующим образом: есть центральный маршрутизатор, имеющий канал доступа в Internet, а к нему подключается разветвленная сеть квартала, дома и подъезда. Естественно, маршрутизатор выполняет функции межсетевого экрана, отделяющего домашнюю сеть от остального Internet. Он реализует несколько механизмов защиты, но наиболее часто используется трансляция адресов, которая позволяет одновременно скрыть внутреннюю инфраструктуру сети и сэкономить реальные IP-адреса провайдера.
Впрочем, некоторые провайдеры выдают своим клиентам именно реальные IP-адреса (например, так происходит в сети микрорайона «Митино», которая подключена к московскому провайдеру «МТУ-Интел»). В этом случае пользовательский компьютер становится доступным из Internet напрямую, поэтому его сложнее защитить. Неудивительно, что бремя обеспечения информационной защиты полностью ложится на абонентов, а у оператора остается единственный способ контроля за их действиями - по IP- и MAC-адресам. Однако современные Ethernet-адаптеры позволяют программно изменить оба параметра на уровне операционной системы, и провайдер оказывается беззащитным перед недобросовестным клиентом.
Конечно для некоторых приложений необходимо выделение реальных IP-адресов. Выдавать же реальный статический IP-адрес клиенту достаточно опасно, поскольку, если сервер с этим адресом будет успешно атакован, через него станет доступной и остальная часть внутренней сети.
Одним из компромиссных решений проблемы безопасного использования IP-адресов в домашней сети является внедрение технологии VPN, объединенной с механизмом динамического распределения адресов. Вкратце схема такова. От клиентской машины до маршрутизатора устанавливается кодированный туннель, задействующий по протоколу PPTP. Поскольку этот протокол поддерживается ОС Windows начиная с 95-й версии, а сейчас реализован и для других операционных систем, от клиента не требуется инсталляции дополнительного ПО - нужна лишь настройка уже инсталлированных компонентов. Когда пользователь подключается к Internet, он вначале устанавливает соединение с маршрутизатором, затем авторизуется, получает IP-адрес и только после этого может приступать к работе в Internet.
Указанный тип подключения эквивалентен обычному коммутируемому соединению с той разницей, что при его инсталлировании можно установить практически любую скорость. Работать по этой схеме будут даже вложенные подсети VPN, которые могут задействоваться для удаленного подключения клиентов к корпоративной сети. Во время каждого пользовательского сеанса провайдер динамически выделяет либо реальный, либо виртуальный IP-адрес. К слову, у 2COM реальный IP-адрес стоит на 1 долл. в месяц дороже, чем виртуальный.
Для реализации VPN-соединений 2COM разработал собственный специализированный маршрутизатор, который выполняет все перечисленные выше функции плюс тарификацию услуг. Следует отметить, что шифрование пакетов возложено не на центральный процессор, а на специализированный сопроцессор, что позволяет одновременно поддерживать до 500 виртуальных каналов VPN. Один такой криптомаршрутизатор в сети 2COM служит для подключения сразу нескольких домов.
В целом наилучшим способом защиты домашней сети является тесное взаимодействие провайдера и клиента, в рамках которого каждый имеет возможность отстаивать свои интересы. На первый взгляд методы защиты домашней сети кажутся аналогичными тем, которые используются для обеспечения корпоративной безопасности, но на самом деле это не так. В компаниях принято устанавливать достаточно жесткие правила поведения сотрудников, придерживаясь заданной политики информационной безопасности. В домашней сети такой вариант не проходит: каждому клиенту требуются свои сервисы и составить общие правила поведения удается далеко не всегда. Следовательно, построить надежную систему защиты домашней сети гораздо сложнее, чем обеспечить безопасность корпоративной сети.
Введение
Актуальность этой темы заключается в том, что изменения, происходящие в экономической жизни России - создание финансово-кредитной системы, предприятий различных форм собственности и т.п. - оказывают существенное влияние на вопросы защиты информации. Долгое время в нашей стране существовала только одна собственность - государственная, поэтому информация и секреты были тоже толькогосударственные, которые охранялись мощными спецслужбами. Проблемы информационной безопасности постоянно усугубляются процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего вычислительных систем. Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, программноеобеспечение и базы данных, для которых технические средства являются окружением. Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия и сетевых администраторов. По мере развития технологий платежей электронных, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит кощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано два базовых принципа информационной безопасности, которая должна обеспечивать: - целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных. - конфиденциальностьинформации и, одновременно, ее доступность для всех авторизованных пользователей. Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем, всоответствии с характером и важностью решаемых ими задач.
Если компьютер подключен к локальной сети, то, потенциально, к этому компьютеру и информации в нем можно получить несанкционированный доступ из локальной сети.
Если локальную сеть соединили с другими локальными сетями, то к возможным несанкционированным пользователям добавляются и пользователи из этих удаленных сетей. Мы не будемговорить о доступности такого компьютера из сети или каналов, через которые соединили локальные сети, потому что наверняка на выходах из локальных сетей стоят устройства, осуществляющие шифрование и контроль трафика, и необходимые меры приняты.
Если компьютер подключили напрямую через провайдера к внешней сети, например через модем к Интернет, для удаленного взаимодействия со своей локальной сетью, токомпьютер и информация в нем потенциально доступны взломщикам из Интернет. А самое неприятное, что через этот компьютер возможен доступ взломщиков и к ресурсам локальной сети.
Естественно при всех таких подключениях применяются либо штатные средства разграничения доступа операционной системы, либо специализированные средства защиты от НСД, либо криптографические системы на уровне конкретныхприложений, либо и то и другое вместе.
Однако все эти меры, к сожалению, не могут гарантировать желаемой безопасности при проведении сетевых атак, и объясняется это следующими основными причинами:
Операционные системы (ОС), особенно WINDOWS относятся к программным продуктам высокой сложности, созданием которых занимается большие коллективы разработчиков. Детальный анализ этих систем провестичрезвычайно трудно. В связи с чем, достоверно обосновать для них отсутствие штатных возможностей, ошибок или недокументированных возможностей, случайно или умышленно оставленных в ОС, и которыми можно было бы воспользоваться через сетевые атаки, не представляется возможным.
В многозадачной ОС, в частности WINDOWS, одновременно может работать много разных приложений,...
Avast всегда пытается быть впереди, когда дело касается защиты пользователей от новых угроз. Все больше и больше людей смотрят фильмы, спортивные трансляции и телешоу на смарт ТВ. Они контролируют температуру в своих домах с помощью цифровых термостатов. Они носят смарт-часы и фитнес-браслеты. В результате потребности в безопасности расширяются за пределы персонального компьютера, чтобы охватить все устройства в домашней сети.
Тем не менее, домашние роутеры, которые являются ключевыми устройствами инфраструктуры домашней сети, часто имеют проблемы безопасности и обеспечивают простой доступ хакерам. Недавнее исследование компании Tripwire показало, что 80 процентов самых продаваемых роутеров имеют уязвимости. Более того, самые распространенные комбинации для доступа к административному интерфейсу, в частности admin/admin или admin/без пароля используется в 50 процентах роутеров по всему миру. Еще 25 процентов пользователей используют адрес, дату рождения, имя или фамилию в качестве паролей к роутеру. В результате более 75 процентов роутеров по всему миру являются уязвимыми для простых парольных атак, что открывает возможности развертывании угроз в домашней сети. Ситуация с безопасностью маршрутизаторов сегодня напоминает 1990-е, когда новые уязвимости обнаруживались каждый день.
Функция “Безопасность домашней сети”
Функция “Безопасность домашней сети” в Avast Free Antivirus , Avast Pro Antivirus , Avast Internet Security и Avast Premier Antivirus позволяет решать перечисленные проблемы с помощью сканирования настроек роутера и домашней сети на предмет потенциальных проблем. В Avast Nitro Update движок обнаружений инструмента “Безопасность домашней сети” был полностью переработан – была добавлена поддержка многопоточного сканирования и был реализован улучшенный детектор взлома DNS. Движок теперь поддерживает сканирования протокола ARP и сканирования портов, выполняемых на уровне драйвера ядра, что позволяет в несколько раз ускорить проверку по сравнению с предыдущей версией.
“Безопасность домашней сети” может автоматически блокировать атаки на роутер с кросс-сайтовыми фальшивыми запросами (CSRF). CSRF-эксплойты эксплуатируют уязвимости сайтов и позволяют киберперступникам передавать несанкционированные команды на веб-сайт. Команда имитирует инструкцию от пользователя, который известен сайту. Таким образом, киберпреступники могут выдавать себя за пользователя, например, переводить деньги жертвы без ее ведома. Благодаря CSRF-запросам, преступники могут удаленно вносить изменения в настройки роутера для того, чтобы перезаписать параметры DNS и перенаправить трафик на мошеннические сайты
Компонент “Безопасность домашней сети” позволяет сканировать настройки домашней сети и роутера на предмет потенциальных проблем безопасности. Инструмент обнаруживает слабые или стандартные пароли Wi-Fi, уязвимые роутеры, скомпрометированные подключения к Интернету и включенный, но не защищенный протокол IPv6. Avast выводит список всех устройств в домашней сети, чтобы пользователи могли проверить, что только известные устройства подключены. Компонент предоставляет простые рекомендации по устранению обнаруженных уязвимостей.
Инструмент также уведомляет пользователя о подключении новых устройств к сети, подключенным к сети телевизорам и другим устройствам. Теперь пользователь может сразу обнаружить неизвестное устройство.
Новый проактивный подход подчеркивает общую концепцию обеспечения максимальной всесторонней защиты пользователей.
Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника - холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы - это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.
К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться - в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.
Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто - там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа - соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования - чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.
К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции - вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.
Настройка через веб-интерфейс не вызовет затруднений даже у начинающих - несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.
Добавить гостевую сеть можно, когда устройство уже настроено и работает.
Скриншот с сайта производителя
Скриншот с сайта производителя
Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN - виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.
Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию - вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов - скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.
Что в итоге?
Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход - дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все - функциональные возможности встроенного софта у них, повторимся, очень разные.
