Пример безопасной настройки домашней локальной сети. Как настроить домашний роутер, чтобы сделать сеть безопасной

Введение

Актуальность этой темы заключается в том, что изменения, происходящие в экономической жизни России - создание финансово-кредитной системы, предприятий различных форм собственности и т.п. - оказывают существенное влияние на вопросы защиты информации. Долгое время в нашей стране существовала только одна собственность - государственная, поэтому информация и секреты были тоже толькогосударственные, которые охранялись мощными спецслужбами. Проблемы информационной безопасности постоянно усугубляются процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего вычислительных систем. Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, программноеобеспечение и базы данных, для которых технические средства являются окружением. Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия и сетевых администраторов. По мере развития технологий платежей электронных, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит кощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано два базовых принципа информационной безопасности, которая должна обеспечивать: - целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных. - конфиденциальностьинформации и, одновременно, ее доступность для всех авторизованных пользователей. Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем, всоответствии с характером и важностью решаемых ими задач.

Если компьютер подключен к локальной сети, то, потенциально, к этому компьютеру и информации в нем можно получить несанкционированный доступ из локальной сети.

Если локальную сеть соединили с другими локальными сетями, то к возможным несанкционированным пользователям добавляются и пользователи из этих удаленных сетей. Мы не будемговорить о доступности такого компьютера из сети или каналов, через которые соединили локальные сети, потому что наверняка на выходах из локальных сетей стоят устройства, осуществляющие шифрование и контроль трафика, и необходимые меры приняты.

Если компьютер подключили напрямую через провайдера к внешней сети, например через модем к Интернет, для удаленного взаимодействия со своей локальной сетью, токомпьютер и информация в нем потенциально доступны взломщикам из Интернет. А самое неприятное, что через этот компьютер возможен доступ взломщиков и к ресурсам локальной сети.

Естественно при всех таких подключениях применяются либо штатные средства разграничения доступа операционной системы, либо специализированные средства защиты от НСД, либо криптографические системы на уровне конкретныхприложений, либо и то и другое вместе.

Однако все эти меры, к сожалению, не могут гарантировать желаемой безопасности при проведении сетевых атак, и объясняется это следующими основными причинами:

Операционные системы (ОС), особенно WINDOWS относятся к программным продуктам высокой сложности, созданием которых занимается большие коллективы разработчиков. Детальный анализ этих систем провестичрезвычайно трудно. В связи с чем, достоверно обосновать для них отсутствие штатных возможностей, ошибок или недокументированных возможностей, случайно или умышленно оставленных в ОС, и которыми можно было бы воспользоваться через сетевые атаки, не представляется возможным.

В многозадачной ОС, в частности WINDOWS, одновременно может работать много разных приложений,...

Когда-то защита локальной сети для домашних пользователей была достаточно тривиальной. Всё было просто! К каналу с ADSL подключали несколько рабочих станций по «витой паре» через маршрутизатор, и на каждый из компьютеров ставили антивирус. Вот и всё, оставалось лишь следить за обновлениями софта. Но прошло 10 лет и ситуация полностью изменилась. В современном доме множество гаджетов пытается выйти в Интернет! От умных часов с WiFi - до локальных сетевых хранилищ с торрент-клиентами. От традиционных ПК - до аудиосистем Hi-End с сетевыми мостами. И от 4G-смартфонов - до крохотных Ethernet-модулей для управления «умным домом»! Добавим сюда вероятные уязвимости домашнего сетевого оборудования - и получим целый зоопарк разнородных устройств, нуждающихся в квалифицированном присмотре (который раньше требовался только предприятиям).

А может махнём рукой на настройку сети и безопасность?

Сразу отметим, что вопросы безопасности лучше не игнорировать. Ведь «дыры» в современной домашней сети могут привести к многочисленным проблемам:

• Если вы проводите платежи, скажем, через Smart TV, и его взломают, с вашей кредитки могут исчезнуть все деньги;
• Если злоумышленник получит доступ к NAS, то может, в перспективе, шантажировать вас вашим же контентом, не предназначенным для чужих глаз. В Интернете уже были посты от пострадавших россиян;
• Получив доступ к вашему мощному ПК, злоумышленник может украсть аккаунт для одной или нескольких игр, и продать их «оптом и в розницу»;
• Также на вашем ПК могут считать биткойны (что вступает в конфликт с законом);
• Может очень сильно пострадать ваш имидж в соцсетях;
• Получив доступ к фитнес-гаджету, можно узнать практически всё о вашей «outdoor activity», что может не понравиться, скажем, женщинам или бизнесменам;
• Заразив смартфон или ноутбук, преступники могут незаметно пользоваться его веб-камерой или записывать звук;
• «Заболевший» гаджет или ноутбук может войти в состав ботнета, и затем, за массовую рассылку спама, вас может отключить провайдер Интернета;
• Злоумышленники могут «тупо» заблокировать устройство, а файлы с данными зашифровать. И всё - если нет бэкапов, с уникальной информацией можно попрощаться;
• О том, что можно делать с «умным домом», управляя, скажем, водой, электроснабжением или цифровыми замками из другой части света, всё понятно без особых разъяснений;
• И хуже этого, пожалуй, лишь взломанный «умный автомобиль».

Защищаем локальную сеть как подводную лодку

TechnoDrive, разумеется, ничего нового не придумал. Всё давно изобретено и отработано на практике. Мы рекомендуем защищать домашнюю локальную сеть шаг за шагом, как отсеки в подводной лодке.

Первый шаг: отделить устройства друг от друга. Для этой цели сами собой напрашиваются коммутаторы с физической изоляцией портов . Если устройства не видят друг друга по локальной сети, они не смогут «потопить» один другого, даже если хакеры «подобьют», скажем, Smart TV, и он станет «активно интересоваться» всем своим окружением.

Минус: файлы придётся переносить на флешке. Плюс: заражённая windows-машина или android-гаджет не смогут сканировать другие ваши устройства (не говоря об их взломе).

Внимание! Представители вендоров (Александр Щаднев, D-Link Ростов-на-Дону) считают, что физическое разделение портов в данном случае будет чрезмерным, поскольку лишит локальную сеть всей привлекательности в плане передачи данных между её устройствами. Однако эксперт отмечает, что другие решения, в частности, управляемые коммутаторы с ACL или многопортовые сетевые экраны могут оказаться для обычного пользователя слишком сложными в настройке. Полная версия мнения экспертов D-Link доступна по ссылке.

Как настроить WiFi?

Разнообразие домашних и портативных гаджетов делает домашний WiFi всё более популярным. Однако беспечному владельцу в данном случае грозят не только несанкционированные подключения соседей и прохожих на улице. Зловредам давно известны заводские настройки оборудования и они весьма активно используются троянами (список наиболее часто упоминаемых моделей приводить не будем). Поэтому нелишне будет напомнить правила безопасности для WiFi:

• Выбирайте сетевую аутентификацию, как минимум, уровня WPA2-PSK (шифрование AES);
• Используйте действительно длинный и сложный пароль со спецсимволами и пробелами, цифрами и различным регистром букв. Да, вводить его будет сложно, особенно, если нет нормальной клавиатуры, но это всего лишь 1 раз (для каждого гаджета);
• Поменяйте заводской пароль на роутере, он также должен быть очень длинным и сложным. Не храните его в браузерах! Меняйте прошивку роутера на свежие версии с сайта производителя!
• MAC-идентификация не идеальна, но она тоже необходима. Пускайте в беспроводную сеть только устройства по белому списку MAC-адресов. MAC-адрес легко отыскать даже в умных телевизорах;
• Настройте мощность сигнала передатчика (TX-мощность): уменьшите её, насколько это возможно;
• Активируйте «изоляцию клиентов» (это своего рода аналог физической изоляции портов, но для беспроводной сети);
• Отключайте WiFi, когда он вам не нужен.

Рабочие станции Ubuntu - это командные рубки домашней сети

Как ни крути, но удобнее всего работать именно на рабочих станциях. Причина очевидна: системные блоки старой закалки мощные, многофункциональные и обладают прекрасной эргономикой органов управления (aka клавиатура и мышь). Да и с экраном там проблем нет, можно подключить даже несколько. Поэтому рабочие станции нужно защищать наиболее тщательно, и рецепт здесь простой: ставьте на них Ubuntu .

Пара слов на эту тему. Не бойтесь пингвина, он уже давно не кусается! И, хотя пару лет назад определённой проблемой был с Windows на Ubuntu, сейчас, с развитием технологий хранения данных в соцсетях облаках, вопрос этот отпал сам собой.

С другой стороны, конечно, многие не сразу осваивают версию Ubuntu 14.04. Но там достаточно знать волшебное сочетание клавиш «Alt+Ё» (тогда вы сможете переключаться, скажем, между множеством открытых документов в LibreOffice, - или жонглировать открытыми письмами в почтовом клиенте, - без ярких эпитетов в адрес Canonical).

Всё остальное, включая графические пакеты, видеоплееры, звуковые редакторы, мессенджеры, браузеры, средства разработки, ридеры и прочее, есть в «Центре приложений Ubuntu» (без вирусов, разумеется, и совершенно бесплатно).

Для компьютерных игр же нужно закачать Steam, также из центра приложений «Убунту». Если есть финансовая возможность, - и вы любите Apple, - также рекомендуем использовать OS X, поскольку она является сертифицированной версией Unix. И, теоретически, «залететь» там можно разве что на «левых пакетах» (первыми напрашиваются потенциально «дырявый» Adobe Flash Player и злосчастная Java, а также, конечно, неизвестно откуда залитое ПО), - а также на фишинге (хотя тот вообще не зависит от ОС).

Если вы предпочитаете оставаться на , у нас есть рекомендации и для неё.

Ну а как защитить смартфоны и планшеты?

Если вы используете гаджет для бизнеса, ставьте туда как можно меньше приложений и используйте надёжный антивирус (последний, как правило, не бесплатен, но пренебрегать защитой смартфона и планшета мы категорически не советуем). Также активируйте приложения, помогающие дистанционно искать и блокировать устройства, - а также удалять с них конфиденциальную информацию. Но не верьте им на 100%, как показала практика, работают они порой непредсказуемо.

Как защитить то, на что вообще нет новых прошивок?

Это самый трудный вопрос, но для него и нужна физическая изоляция портов, а также разделение беспроводных WiFi-клиентов! Ведь никто не знает, чем и как именно может заразиться ваш новый фотоаппарат с поддержкой WiFi, сканер с функцией PIXMA Cloud Link (а это прямой доступ в соцсети!) или сверхбюджетный планшет, пришедший из Китая.

Поэтому, по умолчанию, все подобные «закрытые» устройства проще считать уже заражёнными. Поэтому не стоит вставлять в них флешки с критичной инфой вместе с любимым сериалом; фотографировать ими то, что снимать нежелательно, - и уж точно, не активировать беспроводные функции без особой необходимости [в кафе с беспроводным незащищённым доступом].

Вирус в роутере - это хуже всего!

Мы уже упоминали о том, что для роутера нужен очень длинный и сложный пароль, и что его нельзя хранить в браузере. Если же роутер окажется заражён, то при заходе на сайт банка (к примеру), вы можете попасть на страничку-клон, созданную мошенниками (это делается через подмену DNS). И лишитесь, соответственно, всех денег на счёте, как только введёте пароль. О том, как лечить и защищать , рекомендуем прочитать в публикации TechnoDrive за январь.

О чём мы забыли рассказать, но вспомнили в последний момент?

Напоследок ещё несколько полезных советов от экспертов TechnoDrive:

• Храните копии важных файлов на носителях, откуда их нельзя стереть электронным путём (лучше выбрать DVD, флешки очень недолговечны). Причём это касается и контакт-листов смартфонов!
• Не загружайте «левый софт», против него не поможет даже Linux (особенно, если поставить пакет под рутом, - или же запустить «страшную» команду в терминале, работу которой вы совершенно не понимаете);
• Не давайте телефоны «позвонить» на улице незнакомым людям (если случай неотложный, позвоните со своего смартфона сами);
• Перед тем, как выбросить или продать старый смартфон или планшет, тщательно очистите его память. Это же относится и к старым ПК, поскольку есть любители восстанавливать старые жёсткие диски (материалы потом иногда попадают в Интернет). Лучше использовать для этого специальные утилиты;
• Поглядывайте периодически на станционный список роутера и на то, какие индикаторы на нём мигают. Всплески бурной активности тех или иных портов могут навести на интересные мысли...
• Не оставляйте свои гаджеты без присмотра даже на короткое время;
• Если всё-таки необходимо записать пароль на бумаге (или в файле с совершенно абстрактным именем), добавляйте туда лишние символы, которые сможете найти и удалить только вы сами;
• Если нет острой необходимости в беспроводной связи на том или ином устройстве, не используете её;
• Чем меньше ваших устройств подключено к сети, тем лучше. Это пожалуй, абсолютная истина, всю справедливость которой ещё покажет «во всей своей красе» надвигающийся «Интернет вещей».

Удачного плавания!

Чуть не забыли: у TechnoDrive есть группа - и на . Подключайтесь!

Про домашние сети уже было сказано очень много красивых слов, поэтому сразу переходим к делу.

омашняя сеть требует аккуратного и бережного к себе отношения. Она нуждается в защите от самых разных факторов, а именно:

• от хакеров и сетевых напастей, типа вирусов и нерадивых пользователей;
• атмосферных явлений и несовершенства бытовой электросети;
• человеческого фактора, то есть загребущих рук.

Хотя наш журнал и компьютерный, но в этой статье мы в основном будем говорить на некомпьютерные темы. Информационную защиту рассмотрим лишь в общем, без конкретики. А вот некоторые другие аспекты заслуживают внимания, и прежде всего потому, что о них редко вспоминают.

Итак, начнем разговор с известной темы…

Загребущие руки

повать на сознательность людей не стоит - красивое оборудование с мигающими лампочками неминуемо привлекает всех, кто способен его взять. В принципе, чтобы обезопасить домашнюю сеть, можно добиться того, что все оборудование будет размещено в квартирах пользователей, но иногда возникает необходимость использовать чердак или подобное помещение. Обычно там удобно ставить роутеры, хабы, репитеры и т.п. Поставить - это не проблема. Чаще всего администрация ЖЭКов и ДЭЗов идет навстречу и дает разрешение. Главная задача заключается в том, чтобы все это хорошенько спрятать. Поскольку автор тоже является пользователем домашней сети и участвовал в ее создании, поговорим о тех решениях, которые нам показались удобными. В нашем случае оказалось довольно эффективно использовать решетчатый ящик с замком, из которого наружу выходят провода. Использовать цельный ящик с малым числом окон не стоит, поскольку компьютеру там станет жарко, особенно летом. Согласитесь, решение простое и дешевое. Тем, кто скажет, что и ящик можно утащить, отвечу: в квартиру тоже несложно залезть. То же самое касается «тарелок». С хабами последнее время возникла другая проблема: там много лампочек, вот люди и принимают их за взрывные устройства. Остаются провода: их спрятать невозможно. Поэтому риск, что их обрежут, существует. Ведь некоторые и с высоковольток снимают. А вот следующая тема - это уже некоторая претензия на образованность тех, кто прокладывает сеть.

Электрическая безопасность

десь существует несколько аспектов. Первый - стабильная работа устройств, обеспечивающих функционирование сети. Для этого необходимо хорошее электроснабжение наших домов, что, к сожалению, не всегда возможно. Имеют место скачки и перепады напряжения, запросто может случиться авария или появится необходимость на время отключить электричество. Ото всего, конечно, не защитишься, да наверняка и сеть не настолько важна, чтобы перебои в ее работе имели какие-то фатальные последствия для пользователей. Тем не менее существуют приспособления, которые могут сгладить (в прямом и переносном смысле) проблему, - это сетевые фильтры. От отключения они не спасут, а вот от скачков напряжения - вполне. Вы можете несколько улучшить шансы стабильной работы, купив несколько таких фильтров, так как их цена невысока. Следующий этап - UPS, которые, конечно, дороже, но предоставляют новые возможности. Во-первых, можно пережить короткое (конкретный срок зависит от цены) отключение питания. Во-вторых, все та же защита от скачков напряжения. Но не надо забывать, что имеется два принципиально разных вида UPS: BACK и SMART. Первые умеют только поддерживать питание, пока есть запас в батарее. Вторые могут общаться с компьютером и выключить его, чтобы избежать сбоев при неожиданном отключении. Очевидно, что для обеспечения безопасности компьютеров, стоящих на чердаках, вкладывать деньги в BACK UPS бессмысленно. Чтобы эффективно его использовать, нужно сидеть рядом с ним и при необходимости все выключать. Применение SMART UPS встает в копеечку. Здесь надо думать, что для вас дороже: перебои и возможная утрата оборудования из-за резких отключений или сотни полторы долларов за один SMART UPS.

Второй аспект - взаимодействие с обычной электрической сетью. Эта проблема возникает, когда необходимо тянуть сетевые провода в непосредственной близости от силовых кабелей. В некоторых домах этого можно избежать. Там есть хитрые дырки и ходы, куда можно просунуть провода. В нашем доме, например, таких дырок нет, и тянули мы провода по стояку рядом с телефонной линией. Скажу честно - крайне неудобно. Тянули мы витой парой, а просунуть в маленькую дырочку больше пяти проводов, не оборвав телефонной линии, крайне сложно. тем не менее это возможно. В нашем случае оставалось надеяться, что наводок не будет. Можно, конечно, купить экранированную витую пару, но она вам пригодится только в том случае, когда сетевые и силовые провода будут идти вперемешку. Вообще-то, наводки - вещь не частая, так как слишком уж разные частоты передачи сигнала. Что еще связано с силовыми проводами - так это заземление. Вещь безусловно полезная, но в старых домах заземление просто отсутствует. В нашем доме вообще ситуация аномальная: в доме электроплиты, сеть трехфазная, есть рабочий ноль, но нет земли. В принципе, возможно заземление на батарею радиатора, если, конечно, никто, кроме вас, до этого не додумался. Вот в нашем доме уже кто-то что-то заземлил - теперь у меня в квартире напряжение между трубой отопления и земляным контактом около 120 В, что очень не слабо, смею вас уверить.

И третий аспект - воздушки, или междомовые соединения. Речь идет, конечно, о сетевых проводах. Поскольку расстояния обычно немаленькие, использование витой пары затруднительно (ее ограничение - 80 м). Поэтому обычно кидают коаксиальный провод, в котором второй канал является экраном для первого. Правда, на этом экране вообще индуцируется все что угодно. Особенно опасны грозы, когда может накапливаться действительно большой заряд. К чему это приводит, очевидно: заряд попадает в сетевую карточку компьютера, стоящего на чердаке, и с огромной вероятностью гробит ее или даже весь компьютер. Для защиты от этого существуют устройства, называемые протектами, которые устанавливаются на концах проводов. Однако они тоже не совершенны, и через них порой пробивает. Имеется еще так называемый магистральный коаксиал с дополнительным экраном, никак не связанным с данными, но этот провод стоит даже дороже обычной витой пары.

А теперь переходим к основной для сетевиков проблеме - информационной безопасности.

Информационная безопасность

а мой взгляд, это самый интересный вопрос, который, однако, будет подробно освещен в других статьях этого спецвыпуска.

При более-менее приличном количестве пользователей сеть имеет свой почтовый сервер, DNS, очень часто - собственную страничку. Таким образом, провайдеру остается только канал и общая статистика. Тип канала может быть любой - радио или оптоволокно, что не существенно. Существенно построение сети.

Первая проблема - это взаимоотношение пользователей. Пока вы объединяетесь с друзьями в одном доме - это еще ничего. Вы друг друга знаете, и, что называется, люди не случайные. Вы вместе играете по сети, обмениваетесь файлами, выкладываете на свои сетевые диски на всеобщее обозрение интересные программы и т.д. Когда же сеть расширяется, то появляются новые люди, новые интересы. Некоторые откровенно начинают проверять свои хакерские способности. Вы скажете, что это надо пресекать в корне, отключать пожизненно и т.д. и т.п. Все правильно - наказывать надо, но нужно уметь и отражать подобные атаки. Попросту вы должны быть готовы к тому, что кто-то и изнутри может подложить свинью. Иногда это случается не по вине пользователя, точнее, не по прямой его вине (может, у него появился вирус, который портит жизнь соседям), но в любом случае возможность такой ситуации нельзя не учитывать.

Вторая проблема - это руководство, то есть «админы». Хотя сеть и простая, админы должны быть. При этом не стоит думать, что это может быть любой человек, хоть немного понимающий в UNIX. Это серьезная работа, которую нужно выполнять: следить за сетью, быстро реагировать на неисправности. Ну и, конечно, нужно разбираться в администрировании: уметь грамотно наладить шлюз, firewall, организовать статистику, почту и, может быть, что-то еще. Все это должно работать стабильно и быстро. Плюс к тому у руководства сети появляется и финансовая ответственность. Им платят деньги за работу сети. И логично, что люди рассчитывают получить за эти деньги нормальную качественную связь. Ситуация особенно обостряется, когда пользователей становится много. Не все могут с пониманием отнестись к тому, что админов, скажем, три, пользователей 150, а авария вообще у внешнего провайдера.

Третья проблема - это статистика. Организовать ее несложно. Программ, осуществляющих биллинг, то есть работу со счетами, а в нашем случае - учет трафика, довольно много. Установить такую программу, разобраться с ее работой и начать считать каждый байт - дело нехитрое. Нужно только не забывать делать резервные копии. Желательно каждый день. хорошо бы делать такие копии со всех материалов и файлов, являющихся достоянием всей сети, однако особенно важной представляется информация о пользователях и их статистика.

И наконец, непосредственно информация. Во-первых - это шлюз. Надо сконфигурировать на нем firewall так, чтобы сеть была реально безопасной. Для этого нужно пропускать только свои пакеты, проверять, что происходит внутри сети, естественно, следить за попытками вторжения и постоянно обновлять систему. Во-вторых - это почта. Хорошо бы проверять почту на наличие вирусов сразу по ее приходу на почтовый сервер сети. Это может избавить от многих хлопот в дальнейшем. Если пользователи невнимательные и настройки их браузеров позволяют вирусам проникать в компьютер, то такая проверка обезопасит как самих этих пользователей, так и их соседей - если вирус сам распространяется по сети. В-третьих - это возможности пользователей. Нужно разрешать только то, что необходимо. Я имею в виду сетевые порты. Чем меньше их открыто, тем проще следить за происходящим в сети. Если открыты игровые порты или еще какие-либо нерабочие, то разумно делать их доступными только внутри сети.

С этой проблемой тесно связана проблема создания пользователями собственных ресурсов, например Web-серверов. Кажется логичным, что пользователь может поднять свой сервер на собственном компьютере. Однако тем самым создаются новые возможности для неугомонных хакеров. Нужно ли вам это? Может быть. Но в этом случае вы как администратор должны либо следить за компьютером этого пользователя, либо доверять опыту поднявшего свой сервер абонента.

Вот, пожалуй, и все, к чему хотелось привлечь ваше внимание. Нужно подчеркнуть еще раз, что сеть, в том числе и домашняя, - это не только компьютеры, порты и хакеры. Это еще, банальные сложности в отношениях с людьми, проблема сохранности оборудования, физическая и электрическая безопасность. Многие об этом не задумываются, так как просто привыкли видеть уже готовую инфраструктуру в офисе или где-либо еще, хотя уже при создании домашней сети начинают возникать вопросы. То, о чем здесь рассказано, частично имело место и при создании сети в нашем районе. Поэтому многие вопросы хорошо знакомы автору. Возможно, это попытка предостеречь других от ошибок, которые мы сами допустили или которых нам удалось избежать благодаря «старшим товарищам», уже имевшим определенный опыт.

КомпьютерПресс 3"2002

Avast всегда пытается быть впереди, когда дело касается защиты пользователей от новых угроз. Все больше и больше людей смотрят фильмы, спортивные трансляции и телешоу на смарт ТВ. Они контролируют температуру в своих домах с помощью цифровых термостатов. Они носят смарт-часы и фитнес-браслеты. В результате потребности в безопасности расширяются за пределы персонального компьютера, чтобы охватить все устройства в домашней сети.

Тем не менее, домашние роутеры, которые являются ключевыми устройствами инфраструктуры домашней сети, часто имеют проблемы безопасности и обеспечивают простой доступ хакерам. Недавнее исследование компании Tripwire показало, что 80 процентов самых продаваемых роутеров имеют уязвимости. Более того, самые распространенные комбинации для доступа к административному интерфейсу, в частности admin/admin или admin/без пароля используется в 50 процентах роутеров по всему миру. Еще 25 процентов пользователей используют адрес, дату рождения, имя или фамилию в качестве паролей к роутеру. В результате более 75 процентов роутеров по всему миру являются уязвимыми для простых парольных атак, что открывает возможности развертывании угроз в домашней сети. Ситуация с безопасностью маршрутизаторов сегодня напоминает 1990-е, когда новые уязвимости обнаруживались каждый день.

Функция “Безопасность домашней сети”

Функция “Безопасность домашней сети” в Avast Free Antivirus , Avast Pro Antivirus , Avast Internet Security и Avast Premier Antivirus позволяет решать перечисленные проблемы с помощью сканирования настроек роутера и домашней сети на предмет потенциальных проблем. В Avast Nitro Update движок обнаружений инструмента “Безопасность домашней сети” был полностью переработан – была добавлена поддержка многопоточного сканирования и был реализован улучшенный детектор взлома DNS. Движок теперь поддерживает сканирования протокола ARP и сканирования портов, выполняемых на уровне драйвера ядра, что позволяет в несколько раз ускорить проверку по сравнению с предыдущей версией.

“Безопасность домашней сети” может автоматически блокировать атаки на роутер с кросс-сайтовыми фальшивыми запросами (CSRF). CSRF-эксплойты эксплуатируют уязвимости сайтов и позволяют киберперступникам передавать несанкционированные команды на веб-сайт. Команда имитирует инструкцию от пользователя, который известен сайту. Таким образом, киберпреступники могут выдавать себя за пользователя, например, переводить деньги жертвы без ее ведома. Благодаря CSRF-запросам, преступники могут удаленно вносить изменения в настройки роутера для того, чтобы перезаписать параметры DNS и перенаправить трафик на мошеннические сайты

Компонент “Безопасность домашней сети” позволяет сканировать настройки домашней сети и роутера на предмет потенциальных проблем безопасности. Инструмент обнаруживает слабые или стандартные пароли Wi-Fi, уязвимые роутеры, скомпрометированные подключения к Интернету и включенный, но не защищенный протокол IPv6. Avast выводит список всех устройств в домашней сети, чтобы пользователи могли проверить, что только известные устройства подключены. Компонент предоставляет простые рекомендации по устранению обнаруженных уязвимостей.

Инструмент также уведомляет пользователя о подключении новых устройств к сети, подключенным к сети телевизорам и другим устройствам. Теперь пользователь может сразу обнаружить неизвестное устройство.

Новый проактивный подход подчеркивает общую концепцию обеспечения максимальной всесторонней защиты пользователей.

Несмотря на постоянные сообщения о хакерских атаках на отдельные компьютеры, мобильные устройства и целые компании, мы по-прежнему слепо продолжаем верить, что с нами это никогда не произойдёт. Все эти стандартные пароли, вроде «admin-admin» без обязательного требования после первого запуска придумать свою комбинацию, приводят к тому, что вся наша домашняя сеть становится лакомым кусочком для интернет-хулиганов. Как следствие - вирусы, потерянная информация, удалённый доступ к нашим финансам. О том, как хотя бы попробовать защититься от этого с помощью элементарных действий, поговорим далее.

Избегайте роутеров от интернет-провайдера

Речь не о устройствах, что вам предлагают купить или взять в аренду, а о тех роутерах, которые интернет-провайдер обязует вас использовать. Причём все настройки учётной записи и конфигурацию самого устройства настраивает мастер, вы имеете лишь «гостевой» доступ к начинке. Проблема в том, что на такие роутеры невозможно ставить патчи, вы не можете оперативно сменить пароль, а настройки зачастую не предусматривают серьёзную защиту домашней сети. Всё это чревато огромными дырами в безопасности и зависимостью от благосклонности специалиста службы поддержки.

Измените пароль доступа

Казалось бы, банальное правило: купил в магазине роутер, распаковал, вошёл в систему управления, сразу замени пароль доступа на куда более сложный. Но большинство так радуется работающему Wi-Fi, что забывает об этом напрочь. Напомним ещё раз: сразу же после ввода стандартной комбинации, даже ещё не приступая к настройке, сразу замена пароля и перегрузка.

Ограничьте доступ

Когда вы подключите все домашние устройства к одной сети, зафиксируйте IP или MAC -адреса в памяти. Идеально, если прямо в настройках вы пропишете невозможность доступа устройств с другим адресом. Но дабы не оставлять без Wi-Fi своих гостей, можно пойти на небольшие хитрости, зависящие от модели роутера. Например, ограничить время сессии одного свободного слота доступа. Или включить экран дополнительной верификации.

В крайнем случае всегда можно собрать всех своих друзей, зафиксировать адреса их мобильных телефонов и включить их в «белый список». В общем, изучите внимательно инструкцию и подберите идеальный для вас и ваших гостей вариант.

Аккуратно работайте с интерфейсом

Старайтесь не залезать в настройки роутера без особой надобности. Ваш компьютер или телефон могут быть заражены вирусом, так что совсем ни к чему, чтобы последствия этого добрались до всей домашней сети. И даже в моменты редких визитов, не забывайте об элементарных правилах безопасности: короткие сессии и обязательный выход из системы по окончанию.

Измените LAN-IP адрес

Такая возможность далеко не всегда заложена, но, если настройки роутера позволяют сменить его адрес в сети (например, 192.168.0.1) - обязательно воспользуйтесь. Если же такой возможности нет, то хотя бы измените имя вашей Wi-Fi сети на то, где не содержится марка и модель роутера (так, DIR-300NRU - очень плохой вариант).

Создайте надёжный пароль Wi-Fi

Ещё один банальный рецепт защиты домашней сети, которым многие пренебрегают из-за возможных неудобств ввода на устройствах без клавиатуры, например, игровых консолях. Ваш пароль от Wi-Fi должен содержать минимум 12 символов, с цифрами и буквами, разными регистрами и желательно, чтобы это было что-то сложнее, чем «имя-фамилия-год рождения».

Установите надёжный протокол

Если вы ничего не понимаете, что означают эти непонятные буквы в выборе протокола безопасности, то просто выбирайте WPA2 . Такие протоколы WPA и WEP устарели, и их использование от более-менее настырного взломщика уже не защитит.

Отключите WPS

WPS (Wi-Fi Protected Setup) - функция быстрой настройки Wi-Fi подключения, благодаря которой иногда достаточно просто зажать две кнопки на роутере и адаптере. В более сложном варианте придётся ввести написанный на бумажке ПИН-код. Доподлинно известно, что WPS - не самая надёжная вещь на свете, что инструкции по её взлому без проблем можно найти в интернете . Поэтому не искушайте судьбу и просто настройте всё руками через проводное соединение.

Периодически обновляйте прошивку

Патчи и обновления для роутера - абсолютно точно не то, о чём вы думаете, устраиваясь поудобнее с чашкой кофе с утра за компьютером. Даже если на вашем устройстве есть функция автообновления, совсем не лишним будет хотя бы раз в пару месяцев заходить на сайт производителя и проверять актуальность прошивки вашей модели. Зачастую обновления просто не приходят из-за изменения адреса сервера или проблем с доступом, что тем не менее не должно ставить вашу сеть под угрозу.

Не включайте ненужные услуги

Когда вы начинаете копаться в настройках роутера и натыкаетесь на сервисы, назначение которых у вас вызывает сомнение, возможно от них лучше отказаться. Так, например, Telnet , UPnP (Universal Plug and Play), SSH (Secure Shell), и HNAP (Home Network Administration Protocol) представляют серьёзную угрозу безопасности. Во всех остальных случаях лучше потратить немного времени на изучение непонятных аббревиатур, чем просто выставлять галочки без понимания.

На этом с базовыми правилами закончим, в следующий раз — чуть более сложные советы для тех, кому действительно есть что терять в домашней сети.

А на вашу домашнюю сеть когда-нибудь нападали?