телевизори. Конзоли. Проектори и аксесоари. Технологии. Цифрова телевизия

Пример за сигурна настройка на домашна локална мрежа. Защита на компютърни мрежи

Като погледнах статистиката търсачка Yandex след това забеляза, че заявката: „Сигурност домашна мрежа“ - се иска само 45 пъти на месец, което, нека си признаем, е доста жалко.

За да не бъда голословен, искам да ви разкажа една забавна история от моя живот. Преди време един съсед дойде при мен и реши да се включи в съвременния живот и си купи лаптоп, рутер и се погрижи да се свърже с интернет.

Един съсед си купи рутер D-Link DIR-300-NRU и този модел има тази функция. По подразбиране като име безжична мрежа(SSID), той използва името на марката. Тези. мрежа с име dlink се намира в списъка с налични мрежи. Факт е, че повечето производители „свързват“ името на мрежата в настройките под формата на марка и модел (например Trendnet-TEW432 и др.).

И така, видях dlink в списъка с мрежи и веднага се свързах с него. Веднага ще направя резервация, че всеки рутер (с изключение на Wi-Spots и други екзотични устройства, които нямат мрежови кабелни интерфейси RJ-45) трябва да бъде конфигуриран чрез свързване към него чрез кабел. На практика мога да кажа, че можете да конфигурирате чрез Wi-Fi, но просто не презареждайте - презареждайте само по кабел, в противен случай има шанс да го повредите сериозно. Въпреки че, ако бях конфигурирал рутера чрез кабел, тогава това смешно нещо нямаше да се случи и тази история нямаше да се случи.

Свързвам се към мрежата на dlink, започвам настройката - смяна на SSID, настройка на ключа за криптиране, определяне на обхват от адреси, канал за излъчване и т.н., рестартиране на рутера и чак тогава ми просветва, че приемането е много несигурно , въпреки че рутерът е наблизо, струва.

Да, наистина, свързах се с някой друг отворенрутер и го конфигурира според нуждите. Естествено, веднага върнах всички настройки към оригиналните, така че собствениците на рутера да не се разстройват и вече бяха конфигурирали целевия рутер според нуждите. Но с всичко това мога да кажа, че този рутер все още стои некриптиран и всеки може да се свърже с него. Така че, за да избегнем подобни ситуации, настройваме безжичен рутер и четем за това сигурност на домашната мрежа.

Нека да разгледаме кои елементи, както хардуер, така и софтуер, са защитници на мрежата и кои са потенциални пропуски, включително, между другото, човешки фактор . Но на първо място.

Няма да разглеждаме как интернет идва във вашия дом - достатъчно е да разберем, че идва.

И въпросът е - откъде идва? На компютър? Към рутера? Към безжична точка за достъп?

Няма да разглеждаме как интернет идва във вашия дом - достатъчно е да разберем, че идва. Междувременно този въпрос е много, много важен и ето защо. Всяко от горните устройства има своя собствена степен на защита срещу различни хакерски атаки и неоторизиран достъп.

Първото място по отношение на нивото на защита срещу мрежови атаки може безопасно да се даде на устройство като рутер (понякога се нарича и „рутер“ - това е едно и също нещо, само на английски - Router - рутер). Хардуерната защита е много по-трудна за пробиване, въпреки че не може да се каже, че е невъзможно. Но повече за това по-късно. Има една народна мъдрост, която гласи: „Колкото по-просто е устройството, толкова по-надеждно е то“. защото Рутерът е много по-просто устройство и по-високо специализирано, което означава, че е, разбира се, по-надеждно.

На второ място по отношение на защита срещу мрежови атаки е компютърът, оборудван с различни защитни средства софтуер(защитни стени, които също се наричат ​​FireWall - буквален превод - Fire Wall. В Windows XP и по-нови тази услуга се нарича Firewall). Функционалността е приблизително същата, но става възможно да се внедрят две функции, които най-често не могат да бъдат направени с помощта на инструменти за рутер, а именно проследяване на посещенията на потребителите на сайтове и ограничаване на достъпа до определени ресурси. Разбира се, у дома такава функционалност най-често не се изисква или може лесно да се приложи с помощта безплатни услуги, например Yandex.DNS, ако трябва да защитите детето си от лошо съдържание. Разбира се, шлюзовият компютър понякога има толкова хубава функционалност като „течаща“ антивирусна програма, която може да анализира преминаващия трафик, но това не е причина да отказвате антивирусна програма на клиентски компютри, т.к. За всеки случай вирусът може да пристигне в архивен файл с парола и антивирусната няма как да влезе там, докато не го отворите.

Безжичната точка за достъп е прозрачен и в двете посоки шлюз, през който може да лети всичко, така че има смисъл да се използват точки за достъп само в мрежи, защитени с хардуерна или софтуерна защитна стена (рутер или компютър с инсталиран специализиран софтуер).

Най-често се използва в домашна мрежа безжични рутери, които са оборудвани с четири порта за свързване на компютри чрез кабел и радиомодул, който функционира като точка за достъп. В този случай мрежата изглежда така:

Тук ясно виждаме, че основният защитник на нашата мрежа от хакерски атаки е рутерът, но това не означава, че можете да се чувствате абсолютно сигурни.

Функцията на защитната стена на рутера е да излъчва вашите заявки към интернет и да ви връща получения отговор. В същото време, ако информацията не е била поискана от никого в мрежата, включително вашия компютър, тогава защитната стена филтрира такива данни, защитавайки вашето спокойствие.

Какви методи можете да използвате, за да влезете във вашата защитена със защитна стена мрежа?

Най-често това са троянски вируси, които проникват във вашата мрежа заедно със заразени скриптове или изтеглени заразени програми. Вирусите често се разпространяват като прикачени файлове към имейли или връзки, съдържащи се в тялото на имейла (имейл червеи). По-конкретно, това е начинът, по който се разпространява вирусът червей, който криптира цялата информация на твърдите дискове на вашия компютър и след това изнудва пари за дешифриране.

Какво друго може да направи вирусът, който се е настанил на вашия компютър?

Дейностите на вируса могат да бъдат много разнообразни – от „зомбиране“ на компютър или кражба на данни до изнудване на пари директно чрез Заключване на Windowsили криптиране на всички потребителски данни.

Имам приятели, които твърдят, че никога не са срещали по-безполезна програма от антивирусна и се справят добре без нея. Ако и вие мислите по същия начин, тогава трябва да ви предупредя, че вирусът не винаги се разкрива веднага или изобщо. Понякога дейността му се състои в участие в DDoS атакавсеки сайт в интернет. Това не ви заплашва с нищо, освен че вашият доставчик може да ви блокира и да ви принуди да проверявате за вируси. Ето защо, дори ако няма важни данни на вашия компютър, по-добре е да инсталирате антивирусна програма, поне безплатна.

Ако троянски кон е проникнал в компютъра ви, той може да отвори порт, да създаде тунел и да даде на своя създател пълна власт над вашия компютър.

Много вируси могат да се разпространяват в мрежа, така че ако вирусът попадне на един компютър в мрежата, има шанс да проникне в други компютри в домашната ви мрежа

Как да се предпазим от вируси?

На първо място, трябва да инсталирате актуализирана антивирусна програма на всеки компютър в мрежата. В идеалния случай комерсиален, но ако парите са ограничени, може да се използва безплатни антивирусни програми, като Avast, Avira, AVG, Сигурност на MicrosoftОсновни неща и др. Това, разбира се, не е толкова ефективна защита, колкото платена антивирусна програма, но е по-добре от никаква антивирусна програма.

Важно: Между появата на нов вирус и добавянето на неговото описание към антивирусната база данни има известна „пропаст“, ​​която продължава от 3 дни до 2 седмици (понякога и повече). Така че в този момент вашият компютър може да бъде потенциално изложен на риск от заразяване с вирус, дори и с актуализирана антивирусна програма. Затова преминаваме към следващия етап, а именно инструкциите, следвайки които можете да се предпазите от инфекция.

Всъщност можете дори да хванете вирус от любимия човек. новинарски ресурсчрез всякакви popunders или различни тийзъри и друга реклама в сайта. За да предотвратите това, трябва да имате актуализирана антивирусна програма. От ваша страна можете да направите следното:

1. Никога не отваряйте прикачени файлове в писма и не следвайте връзки от тези писма, ако адресатът ви е непознат. Ако адресатът ви е известен, но писмото има подчертан рекламен характер или е от категорията „вижте тези снимки - тук сте голи“, тогава, разбира се, не трябва да кликвате върху никакви връзки. Единственото полезно нещо, което можете да направите в този случай, е да информирате човека, че е хванал вируса. Може да е като електронна поща, както и съобщения в Skype, ICQ, Mail.ru-agent и други системи.

2. Понякога може да получите съобщение от „агенция за събиране на вземания“ или от „MosGorSud“, че имате някакъв проблем - имайте предвид, че така се разпространяват вирусите за криптиране, така че при никакви обстоятелства не трябва да кликвате върху връзки или да отваряте прикачени файлове .

3. Не забравяйте да обърнете внимание как изглеждат съобщенията за открити вируси от вашата антивирусна програма. Запомнете ги външен вид, защото Често, когато навигирате в интернет, се появява съобщение, че е открит вирус, незабавно изтеглете антивирусна програма от сайта и се проверете. Ако си спомняте как изглежда прозорецът на антивирусното съобщение, винаги можете да разберете дали антивирусът ви предупреждава или това е „трик“. Да, и антивирусът никога няма да изисква от вас да изтеглите добавки от този сайт - това е първият признак на вирус. Не се хващайте, в противен случай ще трябва да се обадите на специалист, който да лекува компютъра ви от вируса рансъмуер.

4. Изтеглили сте архив с някаква програма или нещо друго, но когато отворите файла ви искат да изпратите SMS и да получите код - в никакъв случай не правете това, колкото и убедителни да са аргументите, дадени в прозореца. Ще изпратите 3 SMS-а, струващи 300 рубли всеки, а вътре ще видите инструкции за изтегляне на файлове от торенти.

6. Ако използвате безжична Wi-Fi мрежа, трябва да зададете ключ за шифроване на мрежата. Ако имате отворена мрежа, всеки може да се свърже с нея. Опасността не е, че някой друг освен вас ще използва вашия интернет, а че той се озовава в домашната ви мрежа, която вероятно използва някои споделени ресурси, което не е препоръчително да се показва публично. Относно създаването на мрежа с помощта на Wi-Fi технологияможете също да прочетете статията.

Вместо да обобщим

Сега знаем, че колкото и скъп и качествен да е нашият защитник - рутерът, ако не вземете определени мерки, можете да заразите компютъра си с вирус и в същото време да създадете заплаха за цялата мрежа. Е, и, разбира се, не трябва да забравяме, че ключът за криптиране на вашата безжична мрежа също е много важен фактор.

правила информационна сигурност V в такъв случайтрябва да се спазва както от доставчика, така и от неговия клиент. С други думи, има две точки на уязвимост (от страна на клиента и от страна на доставчика) и всеки от участниците в тази система е принуден да защитава своите интереси.

Изглед от страната на клиента

Правенето на бизнес в електронна среда изисква високоскоростни канали за предаване на данни и ако преди това основните пари на доставчиците се правеха при свързване с интернет, сега клиентите имат доста строги изисквания за сигурността на предлаганите услуги.

На Запад се появиха редица хардуерни устройства, които осигуряват сигурни връзки към домашните мрежи. Като правило те се наричат ​​" SOHO решения"и комбинирайте хардуерна защитна стена, многопортов хъб, DHCP сървър и функции на VPN рутер. Например, това е пътят, поет от разработчиците на Cisco PIX Firewall и WatchGuard FireBox. Софтуерните защитни стени остават само на персонално ниво и се използват като допълнително средство за защита.

Разработчиците на хардуерни защитни стени от клас SOHO смятат, че тези устройства трябва да бъдат лесни за управление, „прозрачни“ (т.е. невидими) за потребителя на домашната мрежа и да съответстват на цената на размера на преките щети от възможни действия на нападатели. Средната цена на успешна атака срещу домашна мрежа се оценява на приблизително 500 долара.

За да защитите домашната си мрежа, можете да използвате софтуерна защитна стена или просто да премахнете ненужните протоколи и услуги от настройките за конфигурация. Най-добрият вариант е, ако доставчикът тества няколко лични защитни стени и конфигурира свои собствени собствена системасигурност и предоставят тяхната техническа поддръжка. По-конкретно, точно това прави доставчикът 2COM, който предлага на своите клиенти набор от тествани екрани и съвети за настройката им. В най-простия случай се препоръчва почти всички мрежови адреси да бъдат обявени за опасни, с изключение на адресите локален компютъри шлюза, през който се осъществява връзката с интернет. Ако софтуерен или хардуерен екран от страна на клиента открие признаци на проникване, това трябва незабавно да се докладва на сервиза техническа поддръжкадоставчик.

Трябва да се отбележи, че защитната стена предпазва от външни заплахи, но не ви предпазва от потребителски грешки. Следователно, дори ако доставчикът или клиентът е инсталирал някакъв вид система за сигурност, и двете страни все още трябва да спазват редица достатъчни прости правилаза минимизиране на вероятността от атаки. Първо, трябва да оставите възможно най-малко лична информация в интернет, да се опитате да избегнете плащането с кредитни карти или поне да проверите дали сървърът има цифров сертификат. Второ, не трябва да изтегляте от интернет и да стартирате никакви програми на компютъра си, особено безплатни. Също така не се препоръчва да се прави местни ресурсивъншно достъпни, инсталирайте поддръжка за ненужни протоколи (като IPX или SMB) или използвайте настройки по подразбиране (например скриване на файлови разширения).

Особено опасно е да се изпълняват скриптове, прикачени към писма електронна поща, но е по-добре изобщо да не използвате Outlook, тъй като повечето вируси са написани специално за това пощенски клиент. В някои случаи е по-безопасно да използвате услугите за уеб поща за работа с електронна поща, тъй като вирусите по правило не се разпространяват чрез тях. Например, доставчикът 2COM предлага безплатна уеб услуга, която ви позволява да четете информация от външни източници пощенски кутиии изтеглете само съобщенията, от които се нуждаете, на вашата локална машина.

Доставчиците обикновено не предоставят услуги за защитен достъп. Факт е, че уязвимостта на клиента често зависи от неговите собствени действия, така че в случай на успешна атака е доста трудно да се докаже кой точно е направил грешката - клиентът или доставчикът. Освен това фактът на атаката все още трябва да бъде записан и това може да стане само с помощта на доказани и сертифицирани продукти. Оценяването на щетите, причинени от хакване, също не е лесно. По правило само неговата минимална стойност, характеризиращ се с времето за възстановяване на нормалната работа на системата.

Доставчиците могат да осигурят сигурност пощенски услугичрез проверка на цялата входяща кореспонденция с помощта на антивирусни програми, както и блокиране на всички протоколи с изключение на основните (Web, имейл, новини, ICQ, IRC и някои други). Операторите не винаги могат да проследят какво се случва във вътрешните сегменти на домашната мрежа, но тъй като те са принудени да се защитават от външни атаки (което е в съответствие с политиките за защита на потребителите), клиентите трябва да взаимодействат с техните услуги за сигурност. Трябва да се помни, че доставчикът не гарантира абсолютна сигурност на потребителите - той преследва само собствената си търговска печалба. Често атаките срещу абонати са свързани с рязък скок в обема на предаваната им информация, което всъщност е начинът, по който операторът печели пари. Това означава, че интересите на доставчика понякога могат да противоречат на интересите на потребителя.

Гледната точка на доставчика

За доставчиците на домашни мрежови услуги основните проблеми са неразрешените връзки и големи вътрешен трафик. Домашните мрежи често се използват за хостване на игри, които не надхвърлят локална мрежаедна жилищна сграда, но може да доведе до блокиране на цели нейни сегменти. В този случай работата в Интернет става трудна, което предизвиква справедливо недоволство сред търговските клиенти.

От гледна точка на разходите доставчиците се интересуват от минимизиране на разходите за защита и наблюдение на тяхната домашна мрежа. В същото време те не винаги могат да организират подходяща защита за клиента, тъй като това изисква определени разходи и ограничения от страна на потребителя. За съжаление не всички абонати са съгласни с това.

Обикновено домашните мрежи са структурирани по следния начин: има централен рутер, който има канал за достъп до Интернет, и към него е свързана обширна мрежа на блока, къщата и входа. Естествено, рутерът функционира като защитна стена, разделяща домашната мрежа от останалата част от Интернет. Той прилага няколко механизма за сигурност, но най-често използваният е преобразуването на адреси, което ви позволява едновременно да скриете вътрешната мрежова инфраструктура и да запазите реалните IP адреси на доставчика.

Някои доставчици обаче дават на своите клиенти реални IP адреси (например това се случва в мрежата на микрорайон Митино, който е свързан с московския доставчик MTU-Intel). В този случай компютърът на потребителя става директно достъпен от интернет, което прави защитата му по-трудна. Не е изненадващо, че тежестта на осигуряване информационна сигурностпада изцяло върху абонатите, а операторът има единствения начин да контролира действията им – чрез IP и MAC адреси. Съвременните Ethernet адаптери обаче ви позволяват програмно да променяте и двата параметъра на ниво операционна система, а доставчикът се оказва беззащитен срещу безскрупулен клиент.

Разбира се, някои приложения изискват разпределяне на реални IP адреси. Даването на реален статичен IP адрес на клиент е доста опасно, защото ако сървърът с този адрес бъде успешно атакуван, останалата част от вътрешната мрежа ще стане достъпна през него.

Едно от компромисните решения на проблема безопасна употреба IP адреси в домашна мрежа е въвеждането на VPN технология, съчетана с механизъм за динамично разпределение на адреси. Накратко схемата е следната. от клиентска машинаСъздава се криптиран тунел към рутера с помощта на PPTP протокола. Тъй като този протокол се поддържа от Windows OS от версия 95 и сега е внедрен за други операционни системи, клиентът не е длъжен да инсталира допълнителен софтуер - изисква се само конфигуриране на вече инсталирани компоненти. Когато потребител се свърже с интернет, той първо установява връзка с рутера, след това влиза, получава IP адрес и едва тогава може да започне работа в интернет.

Този тип връзка е еквивалентен на обикновена комутируема връзка с тази разлика, че при инсталиране можете да зададете почти всякаква скорост. Дори вложените VPN подмрежи ще работят по тази схема, която може да се използва за дистанционна връзкаклиенти към корпоративната мрежа. По време на всяка потребителска сесия доставчикът динамично разпределя реален или виртуален IP адрес. Между другото, реалният IP адрес на 2COM струва $1 на месец повече от виртуалния.

За реализиране на VPN връзки, 2COM разработи свой собствен специализиран рутер, който изпълнява всички функции, изброени по-горе, плюс ценообразуване на услугата. Трябва да се отбележи, че криптирането на пакети не е отговорност на процесор, но на специализиран копроцесор, който ви позволява да поддържате едновременно до 500 виртуални VPN канала. Един такъв крипто рутер в мрежата 2COM се използва за свързване на няколко къщи наведнъж.

В общи линии по възможно най-добрия начинЗащитата на домашната мрежа е тясно взаимодействие между доставчика и клиента, в рамките на което всеки има възможност да защитава своите интереси. На пръв поглед методите за сигурност на домашната мрежа изглеждат подобни теми, които се използват за осигуряване корпоративна сигурност, Но всъщност не е така. Прието е компаниите да установяват доста строги правила за поведение на служителите, като се придържат към дадена политика за информационна сигурност. Тази опция не работи в домашна мрежа: всеки клиент изисква свои собствени услуги и трябва да създава Общи правилаповедението не винаги е успешно. Следователно изграждането на надеждна система за сигурност на домашната мрежа е много по-трудно от гарантирането на сигурността на корпоративна мрежа.

Въведение

Уместността на тази тема се крие във факта, че промените, настъпващи в икономическия живот на Русия - създаването на финансова и кредитна система, предприятия различни формисобственост и др. - имат значително влияние върху проблемите на информационната сигурност. За дълго времеу нас имаше само една собственост - държавна, следователно информацията и тайните също бяха само държавна собственост, която се пазеше от мощни специални служби. Проблемите със сигурността на информацията непрекъснато се задълбочават от навлизането на технически средства за обработка и предаване на данни, и преди всичко компютърни системи, в почти всички сфери на социалната дейност. Целите на атаките могат да бъдат самите технически средства(компютри и периферия) като материални обекти, софтуер и бази данни, за които техническите средства са среда. Всяка повреда на компютърна мрежа е не само „морална“ вреда за служителите на предприятието и мрежови администратори. С развитието на електронните разплащателни технологии, „безхартиения“ документооборот и други, сериозна повреда на локалните мрежи може просто да парализира работата на цели корпорации и банки, което води до значителни материални загуби. Неслучайно защитата на данните в компютърните мрежи се превръща в един от най-актуалните проблеми на съвременната информатика. Към днешна дата са формулирани две основни принципиинформационна сигурност, която трябва да гарантира: - цялост на данните - защита срещу повреди, водещи до загуба на информация, както и неразрешено създаване или унищожаване на данни. - конфиденциалност на информацията и в същото време нейната достъпност за всички оторизирани потребители. Трябва също да се отбележи, че определени сфери на дейност (банкови и финансови институции, информационни мрежи, системи контролирани от правителството, отбрана и специални структури) изискват специални мерки за сигурност на данните и поставят повишени изисквания към оперативната надеждност информационни системи, в съответствие с характера и важността на задачите, които решават.

Ако компютърът е свързан към локална мрежа, тогава потенциално този компютър и информацията в него могат да бъдат достъпни от неупълномощени лица от локалната мрежа.

Ако локална мрежа е свързана с други локални мрежи, тогава потребителите от тези отдалечени мрежи се добавят към списъка с възможни неоторизирани потребители. Няма да говорим за достъпността на такъв компютър от мрежата или каналите, през които са свързани локалните мрежи, защото вероятно има устройства на изходите от локалните мрежи, които криптират и контролират трафика и са взети необходимите мерки.

Ако компютърът е свързан директно чрез доставчик към външна мрежа, например чрез модем към Интернет, за дистанционно взаимодействие с неговата локална мрежа, тогава компютърът и информацията в него са потенциално достъпни за хакери от Интернет. И най-неприятното е, че чрез този компютър хакерите могат да получат достъп и до ресурсите на локалната мрежа.

Естествено, и за всички подобни връзки редовни средстваконтрол на достъпа на операционна система, или специализирани средства за защита срещу неоторизиран достъп, или криптографски системи на ниво конкретни приложения, или и двете.

Всички тези мерки обаче, за съжаление, не могат да гарантират желаната сигурност по време на мрежови атаки и това се обяснява със следните основни причини:

Операционните системи (ОС), особено WINDOWS, са софтуерни продуктис висока сложност, чието създаване се извършва от големи екипи от разработчици. Детайлен анализТези системи са изключително трудни за изпълнение. В тази връзка е необходимо надеждно да се обоснове за тях липсата на стандартни функции, грешки или недокументирани функции, които случайно или умишлено са оставени в ОС и които биха могли да бъдат използвани чрез мрежови атаки, не изглежда възможно.

В многозадачна операционна система, по-специално WINDOWS, много различни приложения могат да работят едновременно...

Avast винаги се опитва да остане напред, когато става въпрос за защита на потребителите от нови заплахи. Все повече и повече хора гледат филми, спорт и телевизионни предавания на смарт телевизори. Те контролират температурата в домовете си с помощта на цифрови термостати. Те носят умни часовници и фитнес гривни. В резултат на това нуждите от сигурност се разширяват отвъд персонален компютърза покриване на всички устройства във вашата домашна мрежа.

Въпреки това домашните рутери, които са ключови устройства в инфраструктурата на домашната мрежа, често имат проблеми със сигурността и осигуряват лесен достъп на хакери. Скорошно проучване на Tripwire установи, че 80 процента от най-продаваните рутери имат уязвимости. Освен това най-често срещаните комбинации за достъп до административния интерфейс, по-специално admin/admin или admin/без парола, се използват в 50 процента от рутерите по света. Други 25 процента от потребителите използват своя адрес, дата на раждане, име или фамилия като пароли за рутер. В резултат на това повече от 75 процента от рутерите по света са уязвими на прости атаки с парола, отваряйки вратата за заплахи, които да бъдат разгърнати в домашната мрежа. Пейзажът на сигурността на рутера днес напомня за 90-те години на миналия век, когато всеки ден се откриваха нови уязвимости.

Функция за сигурност на домашната мрежа

Функцията за защита на домашната мрежа в Avast Free Antivirus, Avast Pro Antivirus, Avast Internet Security и Avast Premier Antivirus ви позволява да разрешите тези проблеми чрез сканиране на вашия рутер и настройките на домашната мрежа за потенциални проблеми. С актуализацията на Avast Nitro механизмът за откриване на инструмента за защита на домашната мрежа е напълно преработен, добавяйки поддръжка за многонишково сканиране и подобрен детектор за отвличане на DNS. Механизмът вече поддържа ARP сканиране и сканиране на портове, извършвано на ниво драйвер на ядрото, което позволява няколко пъти по-бързо сканиране в сравнение с предишната версия.

Защитата на домашната мрежа може автоматично да блокира атаките за фалшифициране на междусайтови заявки (CSRF) на вашия рутер. CSRF експлоатира уязвимостите на уебсайта и позволява на киберпрестъпниците да изпращат неоторизирани команди към уебсайт. Командата симулира инструкции от потребител, който е познат на сайта. Така киберпрестъпниците могат да се представят за потребител, например, да прехвърлят пари на жертвата без негово знание. Благодарение на CSRF заявките, престъпниците могат дистанционно да правят промени в настройките на рутера, за да презапишат DNS настройките и да пренасочат трафика към измамни сайтове

Компонентът за защита на домашната мрежа ви позволява да сканирате настройките на домашната си мрежа и рутера за потенциални проблеми със сигурността. Инструментът открива слаб или стандартен Wi-Fi пароли, уязвими рутери, компрометирани интернет връзки и IPv6 активиран, но не защитен. Avast изброява всички устройства във вашата домашна мрежа, така че потребителите да могат да проверят дали са свързани само известни устройства. Компонентът предоставя прости препоръки за елиминиране на открити уязвимости.

Инструментът също така уведомява потребителя, когато нови устройства се присъединят към мрежата, свързани към мрежата телевизори и други устройства. Сега потребителят може незабавно да открие непознато устройство.

Новият проактивен подход подчертава цялостната концепция за осигуряване на максимална цялостна защита на потребителите.

Днес почти всеки апартамент има домашна мрежа, към която се свързва настолни компютри, лаптопи, съхранение на данни (NAS), медийни плейъри, смарт телевизори, както и смартфони, таблети и други носими устройства. Използват се или кабелни (Ethernet), или безжични (Wi-Fi) връзки и TCP/IP протоколи. С развитието на технологиите за Интернет на нещата, уреди- хладилници, кафемашини, климатици и дори електроинсталационни съоръжения. Благодарение на решенията " Умна къща„Можем да контролираме яркостта на осветлението, да регулираме дистанционно вътрешния микроклимат, да включваме и изключваме различни устройства - това прави живота много по-лесен, но може да създаде сериозни проблеми за собственика на модерни решения.

За съжаление, разработчиците на такива устройства все още не се грижат достатъчно за сигурността на своите продукти и броят на откритите в тях уязвимости расте като гъби след дъжд. Често има случаи, когато след навлизане на пазара дадено устройство вече не се поддържа - нашият телевизор например има инсталиран фърмуер от 2016 г., базиран на Android 4, и производителят няма да го актуализира. Гостите също добавят проблеми: неудобно е да им се откаже достъп до Wi-Fi, но също така не бихте искали да допуснете всеки до вашата уютна мрежа. Кой знае какви вируси могат да се заселят в непознати? мобилни телефони? Всичко това ни води до необходимостта от разделяне на домашната мрежа на няколко изолирани сегмента. Нека се опитаме да разберем как да направим това, както се казва, с малко кръв и с най-малко финансови разходи.

Изолиране на Wi-Fi мрежи
В корпоративните мрежи проблемът се решава просто - има управлявани комутатори с поддръжка на виртуални локални мрежи (VLAN), различни рутери, защитни стени и точки безжичен достъп- можете да изградите необходимия брой изолирани сегменти за няколко часа. С помощта на устройството Traffic Inspector Next Generation (TING) например проблемът се решава само с няколко щраквания. Достатъчно е да свържете комутатора на мрежовия сегмент за гости към отделен Ethernet порт и да създадете правила за защитна стена. Тази опция не е подходяща за дома поради високата цена на оборудването - най-често нашата мрежа се управлява от едно устройство, което комбинира функциите на рутер, комутатор, безжична точкадостъп и Бог знае какво още.

За щастие съвременните домакински рутери (въпреки че би било по-правилно да ги наричаме интернет центрове) също станаха много умни и почти всички от тях, с изключение на много бюджетните, имат способността да създават изолирана Wi-Fi мрежа за гости. Надеждността на тази изолация е въпрос за отделна статия, днес няма да изследваме фърмуера на домакински устройства от различни производители. Да вземем за пример ZyXEL. Keenetic Extra II. Сега тази линия се нарича просто Keenetic, но ние се сдобихме с устройство, пуснато под марката ZyXEL.

Настройката чрез уеб интерфейса няма да създаде никакви затруднения дори за начинаещи - няколко кликвания и имаме отделна безжична мрежа със собствен SSID, WPA2 защита и парола за достъп. Можете да позволите на гости в него, както и да включите телевизори и плейъри с фърмуер, който не е актуализиран от дълго време, или други клиенти, на които нямате особено доверие. В повечето устройства на други производители тази функция, повтаряме, също присъства и се активира по същия начин. Ето как, например, проблемът се решава във фърмуера D-Link рутерис помощта на съветника за настройка.


Можете да добавите мрежа за гости, когато устройството вече е конфигурирано и работи.


Екранна снимка от сайта на производителя


Екранна снимка от сайта на производителя

Ние изолираме Ethernet мрежи
Освен клиенти, свързващи се към безжична мрежа, може да срещнем устройства с кабелен интерфейс. Експертите ще кажат, че за създаване на изолирани Ethernet сегменти се използват така наречените VLAN - виртуални локални мрежи. Някои домашни рутери поддържат тази функционалност, но тук задачата става по-сложна. Бих искал не просто да направим отделен сегмент, трябва да комбинираме портове за кабелна връзкас безжична мрежа за гости на един рутер. Не всеки може да се справи с това домакински уред: повърхностен анализ показва, че в допълнение към интернет центровете на Keenetic, добавете Ethernet портове към мрежата Wi-Fi гостТози сегмент е възможен и за модели от линията MikroTik, но процесът на настройката им вече не е толкова очевиден. Ако говорим за домакински рутери със сравними цени, само Keenetic може да реши проблема с няколко кликвания в уеб интерфейса.

Както можете да видите, тестваният лесно се справи с проблема и тук си струва да обърнете внимание на друга интересна функция - можете също да изолирате безжичните клиенти на мрежата за гости един от друг. Това е много полезно: смартфонът на вашия приятел, заразен със зловреден софтуер, ще има достъп до интернет, но няма да може да атакува други устройства, дори в мрежа за гости. Ако вашият рутер има подобна функция, определено трябва да я активирате, въпреки че това ще ограничи възможностите за взаимодействие с клиента - например вече няма да е възможно да сдвоите телевизор с медиен плейър чрез Wi-Fi, ще трябва да използвайте кабелна връзка. На този етап нашата домашна мрежа изглежда по-сигурна.

какъв е резултатът
Броят на заплахите за сигурността нараства от година на година, а производителите смарт устройствате не винаги обръщат достатъчно внимание на навременното пускане на актуализации. В такава ситуация имаме само един изход - диференциране на клиентите на домашната мрежа и създаване на изолирани сегменти за тях. За да направите това, не е необходимо да купувате оборудване за десетки хиляди рубли, сравнително евтин домашен интернет център може да се справи със задачата. Тук бих искал да предупредя читателите да не купуват устройства от бюджетни марки. Вече почти всички производители имат повече или по-малко еднакъв хардуер, но качеството на вградения софтуер е много различно. Както и продължителността на цикъла на поддръжка за пуснатите модели. Не всеки домашен рутер може да се справи дори с доста простата задача за комбиниране на кабелна и безжична мрежа в изолиран сегмент и може да имате по-сложни такива. Понякога е необходимо да конфигурирате допълнителни сегменти или DNS филтриране за достъп само до безопасни хостове, в големи стаитрябва да свържете Wi-Fi клиенти към мрежата за гости чрез външни точки за достъп и т.н. и така нататък. В допълнение към проблемите със сигурността има и други проблеми: в публичните мрежи е необходимо да се гарантира, че клиентите са регистрирани в съответствие с изискванията Федерален закон№ 97 „Относно информацията, информационни технологиии относно защитата на информацията“. Евтини устройстваспособни да решават такива проблеми, но не всеки - функционалностВграденият софтуер, който имат, повтаряме, е много различен.



Сподели с приятели:
Свързани публикации