Коли я переглядав статистику пошукової системи Яндекс, то звернув увагу, що запит: "Безпека домашньої мережі" - запитується лищь 45 разів на місяць, що, скажімо прямо, досить сумно.

Щоб не бути голослівним, хочу розповісти одну цікаву історію зі свого життя. Якийсь час тому до мене зайшов сусід, який вирішив долучитися до сучасного життя і придбав собі ноутбук, маршрутизатор, та й перейнявся тим, щоб підключитися до мережі інтернет.

Маршрутизатор сусід купив марки D-Link DIR-300-NRU, а ця модель має таку особливість. За промовчанням, як ім'я бездротової мережі (SSID), він використовує назву бренду. Тобто. у списку доступних мереж можна знайти мережу з ім'ям dlink. Справа в тому, що більшість виробників "зашивають" у налаштування назву мережі у вигляді марки та моделі (наприклад, Trendnet-TEW432 тощо).

Так от, побачив я в списку мереж dlink і одразу до нього підключився. Відразу обмовлюся, що будь-який маршрутизатор (крім Wi-Spotів та іншої екзотики, яка не має мережевих провідних інтерфейсів RJ-45) обов'язково потрібно налаштовувати, підключившись до нього по дроту. На практиці, я можу сказати, що можна і по Wi-Fi налаштовувати, але тільки не перепрошувати, - перепрошувати тільки по дроту, інакше є можливість його серйозно пошкодити. Хоча, якби я вів налаштування маршрутизатора по дроту, то цього курйозу не сталося б і не було б цієї історії.

Я підключаюся до мережі dlink, починаю налаштовувати - змінюю SSID, задаю ключ шифрування, визначаю діапазон адрес, канал мовлення і т.п., перезапускаю маршрутизатор і тільки тут до мене доходить те, що аж надто якийсь невпевнений прийом, хоча маршрутизатор поруч стоїть.

Так, справді, я підключився до чужого відкритомумаршрутизатору і налаштував його як треба. Звичайно, я відразу ж повернув всі налаштування до вихідних, щоб власники маршрутизатора не засмучувалися і вже налаштував цільовий маршрутизатор як слід. Але, при всьому цьому, можу сказати, що цей маршрутизатор досі так і стоїть незашифрований і до нього може причепитися будь-хто. Так от, щоб уникнути таких ситуацій, налаштовуємо бездротовий маршрутизатор і читаємо далі про безпека домашньої мережі.

Давайте розглянемо, які елементи як апаратні, і програмні, є захисниками мережі, а які - потенційними брешами, включаючи, до речі, і людський фактор. Але про все по порядку.

Ми не розглядатимемо, яким чином інтернет приходить до вас у будинок – нам достатньо розуміння того, що він приходить.

І питання – чи приходить куди? На комп'ютер? На маршрутизатор? На бездротову точку доступу?

Ми не розглядатимемо, яким чином інтернет приходить до вас у будинок – нам достатньо розуміння того, що він приходить. А тим часом це питання дуже і дуже важливе і ось чому. Кожен з перелічених вище пристроїв має свій ступінь захисту від різних хакерських атак і несанкціонованого доступу.

Перше місце за рівнем захисту від мережевих атак можна сміливо віддати такому пристрою, як маршрутизатор (його ще іноді називають "роутер" - це те саме, тільки англійською - Router - маршрутизатор). Апаратний захист "пробити" набагато складніше, хоч і не можна сказати, що неможливо. Але про це згодом. Існує така народна мудрість, яка говорить: "Чим пристрій простіше - тим він надійніший". Т.к. маршрутизатор - набагато простіший пристрій і більш вузькоспеціалізований, то він, звичайно, надійніший.

На другому місці за рівнем захисту від мережевих атак - комп'ютер, оснащений різними захисними програмними засобами (міжмережевими екранами, які також називаються FireWall - дослівний переклад - Вогняна стіна. В ОС Windows XP і пізніших цей сервіс називається Брандмауер). Функціонал приблизно той самий, але з'являється можливість реалізації двох функцій, які найчастіше неможливо зробити засобами маршрутизатора, а саме – відстеження відвідування користувачами сайтів та обмеження доступу до певних ресурсів. Звичайно, в домашніх умовах такий функціонал найчастіше не потрібний або легко реалізується з використанням безкоштовних сервісів, наприклад, Яндекс.DNS, якщо вам потрібно захистити свою дитину від поганого контенту. Звичайно, на комп'ютері-шлюзі іноді є такий приємний функціонал, як "проточний" антивірус, який вміє аналізувати трафік, що проходить, але це не є приводом до того, щоб відмовлятися від антивірусу на комп'ютерах-клієнтах, т.к. вірус про всяк випадок може прилетіти у файл-архіві з паролем, а туди антивірусу ніяк не потрапити, поки ви його не розкриєте.

Бездротова точка доступу - це прозорий в обидві сторони шлюз, через який може прилетіти будь-що, тому використовувати точки доступу має сенс тільки в мережах, захищених апаратним або програмним файрволом (маршрутизатором або комп'ютером із встановленим спеціалізованим ПЗ).

Найчастіше в домашній мережі використовуються бездротові маршрутизатори, які обладнані чотирма портами для підключення комп'ютерів з проводу та радіомодулем, що виконує функцію точки доступу. У цьому випадку мережа має такий вигляд:

Тут ми наочно бачимо, що головний захисник нашої мережі від атак хакерів - маршрутизатор, проте це не говорить про те, що ви можете почуватися в абсолютній безпеці.

Функція файрвола маршрутизатора полягає в тому, що він транслює ваші запити до інтернету та отримана відповідь повертає вам. При цьому, якщо інформація ніким у мережі, включаючи ваш комп'ютер, не вимагалася, то файрвол такі дані відфільтровує, оберігаючи ваш спокій.

Якими методами можна потрапити до вашої мережі, захищеної файрволом?

Найчастіше це віруси-трояни, які проникають у вашу мережу разом із зараженими скриптами або скачаними зараженими програмами. Нерідко віруси поширюються як вкладень в електронні листи чи посилань, які у тілі листи (поштові черв'яки). Зокрема, поширюється вірус-хробак, який шифрує всю інформацію на жорстких дисках вашого комп'ютера, а після цього вимагає гроші за розшифровку.

Що ще може зробити вірус, що оселився на вашому комп'ютері?

Діяльність вірусу може бути найрізноманітнішою - від "зомбування" комп'ютера або крадіжки даних до вимагання грошей безпосередньо через блокування Windows або шифрування всіх даних користувача.

У мене є знайомі, які стверджують, що не зустрічали більш марної програми, ніж антивірус і чудово обходяться без нього. Якщо ви вважаєте так само, то повинен попередити, що не завжди вірус видає себе відразу і взагалі видає. Іноді його діяльність полягає у тому, щоб взяти участь у DDoS атаці будь-якого вузла в інтернеті. Вам це нічим не загрожує, крім того, що вас може заблокувати провайдер і змусити перевіритися на віруси. Тому навіть якщо на вашому комп'ютері немає важливих даних, антивірус, хоча б безкоштовний, краще поставити.

Якщо на ваш комп'ютер проникнув троян - він може відкрити порт, організувати тунель і надати своєму творцю повну владу над вашим комп'ютером.

Багато вірусів можуть поширюватися по мережі, тому якщо вірус потрапив на один комп'ютер в мережі, існує ймовірність його проникнення на інші комп'ютери вашої домашньої мережі.

Як уберегти себе від вірусів?

Перш за все, необхідно встановити на кожен комп'ютер в мережі антивірус, що оновлюється. В ідеалі комерційний, але якщо з грошима важко використовувати безкоштовні антивіруси, на кшталт Avast, Avira, AVG, Microsoft Security Essentials і т.п. Це, звичайно, не такий ефективний захист, як у платного антивірусу, але краще так, ніж взагалі без антивірусу.

Важливо: Між появою нового вірусу та додаванням його опису до антивірусної бази існує деякий "зазор", довжиною від 3 днів до 2-х тижнів (іноді довше). Так от, в цей час ваш комп'ютер може бути потенційно під загрозою зараження вірусом, навіть, з антивірусом, що оновлюється. Тому переходимо до наступного етапу, а саме інструкцій, виконуючи які ви зможете уберегти себе від зараження.

Насправді, підчепити вірус ви можете навіть на улюбленому ресурсі новин через будь-які попандери або різні тизери та іншу рекламу на сайті. Щоб це запобігти - необхідно, щоб у вас стояв антивірус, що оновлюється. Ви ж зі свого боку можете виконати такі моменти:

1. Ніколи не відкривати вкладення в листи і не переходити на посилання з цих листів, якщо адресат вам невідомий. Якщо адресат вам відомий, але лист має яскраво виражений рекламний характер або з розряду - "дивися ці фотки - ти тут голий", то, звичайно, ні за якими посиланнями переходити не слід. Єдине, що ви можете зробити корисного в цьому випадку - це повідомити людину, що він упіймав вірус. Це може бути як електронний лист, так і повідомлення в Skype, ICQ, Mail.ru-агенті та інших системах.

2. Іноді вам може прийти повідомлення від "колекторського агентства" або з "МосГорСуда" про те, що у вас якісь неприємності - знайте, так поширюються віруси-шифрувачі, тому в жодному разі не слід переходити за посиланнями та відкривати вкладення.

3. Обов'язково зверніть увагу на те, як виглядають повідомлення про виявлені віруси антивірусом. Запам'ятайте їхній зовнішній вигляд, т.к. Нерідко при навігації по інтернету виникає повідомлення, що виявлено вірус, негайно скачайте з сайту антивірус і перевіртеся. Якщо ви пам'ятаєте, як виглядає вікно повідомлень антивірусу, завжди зможете зрозуміти - антивірус вас попереджає або це "обманка". Так, і антивірус ніколи не вимагатиме скачати з даного сайту якесь доповнення - це перша ознака вірусу. Не трапляйтеся, а потім доведеться викликати фахівця лікувати комп'ютер від вірусу-вимагача.

4. Ви завантажили архів з якоюсь програмою або ще чимось, але при відкритті файлу вимагають відправити смс і отримати код - у жодному разі цього не робіть, хоч би якими були переконливі докази, наведені у вікні. Ви відправите 3 смс, вартістю по 300 рублів кожна і всередині побачите інструкцію зі скачування файлів з торрентів.

6. Якщо ви використовуєте бездротову мережу Wi-Fi, вам необхідно встановити ключ шифрування мережі. Якщо у вас відкрита мережа, всі бажаючі можуть до неї підключитися. Небезпека полягає не в тому, що хтось, крім вас, користуватиметься вашим інтернетом, а в тому, що він потрапляє у вашу домашню мережу, в якій, напевно, використовуються якісь спільні ресурси, які небажано виставляти на загальний огляд. Про створення мережі з використанням технології Wi-Fi ви також можете прочитати статтю.

Замість підбиття підсумків

Тепер ми знаємо, що яким би дорогим та якісним не був наш захисник - маршрутизатор, якщо не вживати певних заходів, то можна заразити свій комп'ютер вірусом, а принагідно створити загрозу для всієї мережі. Ну, і, звичайно ж, не можна забувати про те, що ключ шифрування вашої бездротової мережі також є дуже важливим фактором.

Головну загрозу безпеці ваших даних несе Всесвітнє павутиння. Як забезпечити надійний захист домашньої мережі?

Часто користувачі помилково вважають, що для захисту домашнього ПК, що підключається до Інтернету, цілком достатньо звичайного антивірусу. В оману вводять і написи на коробках роутерів, що в цих пристроях на апаратному рівні реалізований потужний брандмауер, здатний захистити від атак хакерів. Ці твердження вірні лише частково. Перш за все, обидва інструменти вимагають грамотного налаштування. При цьому багато антивірусних пакетів просто не забезпечені такою функцією, як брандмауер.

Тим часом грамотна побудова захисту починається вже із самого з'єднання з Інтернетом. У сучасних домашніх мережах зазвичай застосовують Wi-Fi-роутери з використанням кабельного Ethetnet-з'єднання. Через локальну мережу вихід в Інтернет мають настільні комп'ютери та ноутбуки, смартфони та планшети. Причому в єдиній зв'язці знаходяться як самі ПК, так і периферійні пристрої, такі як принтери та сканери, багато з яких підключаються через мережу.

Зламавши вашу точку доступу, зловмисник може не тільки користуватися вашим підключенням до Інтернету та керувати домашніми комп'ютерними пристроями, але й розміщувати у Всесвітній павутині незаконний контент, використовуючи вашу IP-адресу, а також викрасти інформацію, що зберігається на обладнанні, підключеному до мережі. Сьогодні поговоримо про основні правила захисту мереж, підтримку їхньої працездатності та профілактики від злому.

Апаратні засоби

Сучасне мережеве обладнання здебільшого потребує налаштування засобів безпеки. Насамперед йдеться про різні фільтри, мережні екрани та списки доступу за розкладом. Параметри захисту може вказати і непідготовлений користувач, проте слід знати деякі нюанси.

ВИКОРИСТОВУЄМО ШИФРУВАННЯ ТРАФІКАНастроюючи точку доступу, подбайте про включення найбільш надійних механізмів захисту трафіку, створіть складний, безглуздий пароль та використовуйте протокол WPA2 з алгоритмом шифрування AES. Протокол WEP застарів і може бути зламаний за лічені хвилини.

РЕГУЛЯРНО ЗМІНЮЄМО ОБЛІКОВІ ДАНІВстановлюйте надійні паролі доступу та регулярно (наприклад, раз на півроку) змінюйте їх. Найпростіше зламати пристрій, на якому користувач залишив стандартні логін та пароль «admin»/«admin».

ПРИХОВАЄМО SSIDПараметр SSID (Service Set Identifier) ​​- це публічне ім'я бездротової мережі, яке транслюється в ефір, щоб його могли бачити пристрої користувача. Використання опції приховання SSID дозволить захиститися від початківців, але тоді для підключення нових пристроїв необхідно буде вручну вводити параметри точки доступу.

ПОРАДАПри первинному налаштуванні точки доступу поміняйте SSID, оскільки це ім'я відображає модель роутера, що може бути підказкою зломщику при пошуку вразливостей.

Настроюємо вбудований БРАНДМАУЕР Маршрутизатори в більшості випадків оснащуються простими версіями мережевих екранів. З їхньою допомогою не вдасться досконало налаштувати безліч правил для безпечної роботи в мережі, але можна перекрити основні вразливості або, наприклад, заборонити роботу поштових клієнтів.

ОБМЕЖЕННЯ ДОСТУПУ ПО MAC-АДРЕСАХВикористовуючи MAC-адреси (Media Access Control), можна заборонити доступ до локальної мережі тим пристроям, фізичні адреси яких не внесені до такого переліку. Для цього вам потрібно буде вручну створити списки допущеного до мережі обладнання. У кожного пристрою, з мережевим інтерфейсом, є унікальна, присвоювана йому на заводі MAC-адреса. Його можна дізнатися, подивившись на етикетку або маркування, нанесену на обладнання, або за допомогою спеціальних команд та мережевих сканерів. За наявності веб-інтерфейсу або дисплея (наприклад, у роутерів та мережевих принтерів) MAC-адресу ви знайдете в меню налаштувань.
MAC-адресу мережної карти комп'ютера можна дізнатися у її властивостях. Для цього потрібно зайти до меню «Панель управління | Мережі та Інтернет | Центр керування мережами та спільним доступом», потім у лівій частині вікна перейти за посиланням «Зміна параметрів адаптера», клацнути правою клавішею миші по мережній карті і вибрати пункт «Стан». У вікні потрібно натиснути на кнопку «Відомості» і подивитися рядок «Фізична адреса», де буде відображено шість пар цифр, що позначають MAC-адресу вашої мережевої карти.

Є й швидший спосіб. Щоб скористатися ним, натисніть сполучення клавіш «Win+R», в рядку введіть CMD і клацніть по «ОК». У вікні, введіть команду:

Натисніть "Enter". Знайдіть у відображених даних рядки "Фізична адреса" - це значення і є MAC-адресою.

Програмні засоби

Захистивши мережу фізично, необхідно подбати про програмну частину «оборони». У цьому вам допоможуть комплексні антивірусні пакети, мережні екрани та сканери вразливостей.

НАЛАШТУЄМО ДОСТУП ДО ПАПКНе розміщуйте папки з системними або просто важливими даними в директоріях, доступ до яких відкритий користувачам внутрішньої мережі. Крім того, намагайтеся не створювати папки, відкриті для доступу до мережі, на системному диску. Всі подібні директорії, якщо немає особливої ​​потреби, краще обмежити атрибутом «Тільки читання». Інакше у спільній папці може оселитися замаскований під документи вірус.

ВСТАНОВЛЮЄМО МЕРЕЖЕВИЙ ЕКРАНПрограмні мережні екрани, як правило, прості в налаштуванні та мають режим самонавчання. При його використанні програма запитує користувача, які з'єднання він схвалює, а які вважає за потрібне заборонити.
Рекомендуємо використовувати персональні брандмауери, вбудовані в такі популярні комерційні продукти, як Kaspersky Internet Security, Norton Internet Security, NOD Internet Security, а також безкоштовні рішення - наприклад, Comodo Firewall. Штатний брандмауер Windows, на жаль, не може похвалитися надійним забезпеченням безпеки, надаючи лише базові налаштування портів.

Тест на вразливості

Найбільшу небезпеку для працездатності комп'ютера та мережі становлять програми, що містять «дірки», та неправильно налаштовані засоби захисту.

XSpiderЛегка у використанні програма для сканування мережі на наявність уразливостей. Вона дозволить швидко виявити більшість актуальних проблем, а також надасть їх опис та, у деяких випадках, способи усунення. На жаль, якийсь час тому утиліта стала платною, і в цьому, мабуть, її єдиний мінус.

NmapНекомерційний мережевий сканер із відкритим вихідним кодом. Програма спочатку розроблялася для користувачів UNIX, але згодом, завдяки популярності, була портована на Windows. Утиліта розрахована на досвідчених користувачів. Nmap має простий і зручний інтерфейс, проте розібратися в даних без базових знань, що нею видаються, буде непросто.

KIS 2013Цей пакет надає як комплексний захист, а й засоби діагностики. З його допомогою можна просканувати встановлені програми на наявність критичних уразливостей. За підсумками даної процедури програма надасть список утиліт, проломи в яких потрібно закрити, при цьому можна дізнатися докладні відомості про кожну з уразливостей та способи її усунення.

Поради щодо монтажу мережі

Зробити мережу більш захищеною можна не тільки на етапі її розгортання та налаштування, а й коли вона вже є. При забезпеченні безпеки необхідно враховувати кількість пристроїв, що підключаються, розташування мережевого кабелю, поширення сигналу Wi-Fi і типи перешкод для нього.

МАЄМО ТОЧКУ ДОСТУПУОцініть, яку територію потрібно ввести в зону дії Wi-Fi. Якщо потрібно охопити лише область вашої квартири, то не варто розміщувати бездротову точку доступу поряд із вікнами. Це знизить ризик перехоплення і злому слабко захищеного каналу вардрайверами - людьми, які полюють за безплатними бездротовими точками доступу в Інтернет і використовують незаконні методи. При цьому слід зважати на те, що кожна бетонна стіна знижує потужність сигналу вдвічі. Також пам'ятайте, що дзеркало шафи є практично непроникним екраном для Wi-Fi-сигналу, що в окремих випадках можна використовувати для запобігання поширенню радіохвиль у певних напрямках у квартирі. Крім того, деякі Wi-Fi-роутери дозволяють апаратно налаштувати потужність сигналу. Завдяки цій опції ви можете штучно надати доступ тільки для користувачів, які знаходяться в приміщенні з точкою доступу. Недоліком такого методу є можлива відсутність сигналу у віддалених місцях вашої квартири.

Прокладаємо кабеліМережа, організована переважно з використанням кабелю, забезпечує найвищу швидкість і надійність зв'язку, і при цьому виключається можливість вклинювання в неї з боку, як це може статися зі з'єднанням Wi-Fi. можливість вклинювання в неї з боку, як це може статися зі з'єднанням Wi-Fi.
Щоб уникнути несанкціонованого підключення, під час прокладання кабельної мережі подбайте про захист проводів від механічних пошкоджень, використовуйте спеціальні кабель-канали і не допускайте ділянок, на яких шнур занадто сильно провисатиме або, навпаки, надмірно натягнутий. Не прокладайте кабель поруч із джерелами сильних перешкод або в зоні з поганим середовищем (критичні температури та вологість). Також ви можете використовувати екранований кабель, що має додатковий захист.

ЗАХИЩУЄМОСЯ ВІД ВіршіДротові та бездротові мережі схильні до впливу грози, причому в деяких випадках удар блискавки може вивести з ладу не тільки мережеве обладнання або мережеву карту, а й безліч компонентів ПК. Для зменшення ризику насамперед не забувайте про заземлення електричних розеток та компонентів ПК. Використовуйте пристрої типу Pilot, у яких застосовуються захисні схеми від перешкод та стрибків напруги.
Крім того, найкращим рішенням може стати джерело безперебійного живлення (ДБЖ). Сучасні версії включають як стабілізатори напруги і автономне живлення, так і спеціальні роз'єми для підключення через них мережевого кабелю. Якщо раптом в обладнання інтернет-провайдера вдарить блискавка, такий ДБЖ не пропустить шкідливий стрибок напруги в картку вашого ПК. Варто пам'ятати, що в будь-якому випадку заземлення розеток або обладнання дуже важливо.

Використання засобів побудови VPN-тунелів
Досить надійним способом захисту інформації, що передається по мережі, є VPN-тунелі (Virtual Private Network). Технологія тунелювання дозволяє створити зашифрований канал, яким передаються дані між декількома пристроями. Організація VPN з метою підвищення захисту інформації можлива всередині домашньої мережі, проте це дуже трудомістко і потребує спеціальних знань. Найбільш поширений метод використання VPN - підключення до домашнього ПК ззовні, наприклад, з робочого комп'ютера. Таким чином дані, що передаються між вашими машинами, дані будуть добре захищені шифруванням трафіку. Для цього краще використовувати надійну безкоштовну програму Hamachi. В даному випадку будуть потрібні лише базові знання з організації VPN, що під силу і непідготовленому користувачеві.

З поширенням широкосмугового доступу в інтернет та кишенькових гаджетів стали надзвичайно популярні бездротові роутери (маршрутизатори). Такі пристрої здатні роздавати сигнал по протоколу Wi-Fi як на стаціонарні комп'ютери, так і на мобільні пристрої – смартфони та планшети – при цьому пропускної спроможності каналу цілком достатньо для одночасного підключення кількох споживачів.

Сьогодні бездротовий роутер є практично в будь-якому будинку, куди проведено широкосмуговий інтернет. Однак далеко не всі власники таких пристроїв замислюються над тим, що за замовчуванням вони надзвичайно вразливі для зловмисників. І якщо ви вважаєте, що не робите в інтернеті нічого такого, що могло б вам пошкодити, подумайте над тим, що перехопивши сигнал локальної бездротової мережі, зломщики можуть отримати доступ не тільки до вашого особистого листування, а й до банківського рахунку, службових документів і будь-яким іншим файлам.

Хакери можуть не обмежитися дослідженням пам'яті виключно ваших власних пристроїв – їх вміст може підказати ключі до мереж вашої компанії, ваших близьких та знайомих, даних різноманітних комерційних і державних інформаційних систем. Більше того, через вашу мережу та від вашого імені зловмисники можуть проводити масові атаки, зломи, незаконно поширювати медіафайли та програмне забезпечення та займатися іншою кримінальною діяльністю.

Тим часом, щоб убезпечити себе від подібних загроз, варто дотримуватися лише кількох простих правил, які зрозумілі та доступні навіть тим, хто не має спеціальних знань у галузі комп'ютерних мереж. Пропонуємо вам ознайомитись із цими правилами.

1. Змініть дані адміністратора за промовчанням

Щоб отримати доступ до налаштувань вашого роутера, необхідно зайти до його веб-інтерфейсу. Для цього вам потрібно знати його IP-адресу в локальній мережі (LAN), а також логін та пароль адміністратора.

Внутрішня IP-адреса роутера за замовчуванням, як правило, має вигляд 192.168.0.1, 192.168.1.1, 192.168.100.1 або, наприклад, 192.168.123.254 – вона завжди вказана в документації до апаратури. Дефолтні логін та пароль зазвичай також повідомляються в документації, або їх можна дізнатися у виробника роутера чи вашого провайдера послуг.

Вводимо IP-адресу роутера в адресний рядок браузера, а в вікні вводимо логін і пароль. Перед нами відкриється веб-інтерфейс маршрутизатора з найрізноманітнішими налаштуваннями.

Ключовий елемент безпеки домашньої мережі – можливість зміни налаштувань, тому потрібно обов'язково змінити всі дані адміністратора за умовчанням, адже вони можуть використовуватись у десятках тисяч екземплярів таких самих роутерів, як і у вас. Знаходимо відповідний пункт та вводимо нові дані.

У деяких випадках можливість довільної зміни даних адміністратора заблокована провайдером послуг, і тоді вам доведеться звертатися за допомогою до нього.

2. Встановіть або змініть паролі для доступу до локальної мережі

Ви сміятиметеся, але все ще трапляються випадки, коли щедрий власник бездротового роутера організує відкриту точку доступу, до якої може підключитися кожен. Набагато частіше для домашньої мережі вибираються псевдопаролі типу «1234» або якісь банальні слова, задані під час встановлення мережі. Щоб мінімізувати ймовірність того, що хтось зможе з легкістю забратися у вашу мережу, потрібно вигадати справжній довгий пароль з літер, цифр та символів, і встановити рівень шифрування сигналу – бажано WPA2.

3. Вимкніть WPS

Технологія WPS (Wi-Fi Protected Setup) дозволяє швидко налагодити бездротовий захищений між сумісними пристроями без докладних налаштувань, а лише натисканням відповідних кнопок на роутері і гаджеті або шляхом введення цифрового коду.

Тим часом, ця зручна система, зазвичай включена за умовчанням, має одне слабке місце: оскільки WPS не враховує кількість спроб введення неправильного коду, вона може бути зламана «грубою силою» шляхом простого перебору за допомогою найпростіших утиліт. Потрібно від декількох хвилин до декількох годин, щоб проникнути у вашу мережу через код WPS, після чого не складе особливих труднощів обчислити і мережевий пароль.

Тому знаходимо в адмінці відповідний пункт і відключаємо WPS. На жаль, внесення змін до налаштувань далеко не завжди дійсно відключить WPS, а деякі виробники взагалі не передбачають такої можливості.

4. Змініть назву SSID

Ідентифікатор SSID (Service Set Identifier) ​​– це назва бездротової мережі. Саме його «згадують» різні пристрої, які при розпізнаванні назви та наявності необхідних паролів намагаються підключитися до локальної мережі. Тому якщо ви збережете стандартну назву, встановлену, наприклад, вашим провайдером, тобто ймовірність того, що ваші пристрої намагатимуться підключитися до безлічі найближчих мереж з тією ж назвою.

Більш того, роутер, що транслює стандартний SSID, більш вразливий для хакерів, які знатимуть його модель і звичайні налаштування, і зможуть завдати удару в конкретні слабкі місця такої конфігурації. Тому виберіть якомога унікальнішу назву, що нічого не говорить ні про провайдера послуг, ні про виробника обладнання.

При цьому рада, що часто зустрічається, приховувати трансляцію SSID, а така опція стандартна для переважної більшості роутерів, насправді неспроможний. Справа в тому, що всі пристрої, які намагаються підключитися до вашої мережі, у будь-якому випадку будуть перебирати найближчі точки доступу, і можуть підключитися до мереж, спеціально розставлених зловмисниками. Іншими словами, приховуючи SSID, ви ускладнюєте життя лише самим собі.

5. Змініть IP-роутер.

Щоб ускладнити несанкціонований доступ до веб-інтерфейсу роутера та його налаштувань, змініть в них внутрішню IP-адресу (LAN) за промовчанням.

6. Вимкніть віддалене адміністрування

Для зручності технічної підтримки (в основному) у багатьох побутових роутерах реалізовано функцію віддаленого адміністрування, за допомогою якої налаштування роутера стають доступними через інтернет. Тому якщо ми не хочемо проникнення ззовні, цю функцію краще відключити.

При цьому, однак, залишається можливість зайти до веб-інтерфейсу через Wi-Fi, якщо зловмисник знаходиться в полі дії вашої мережі і знає логін і пароль. У деяких роутерах є функція обмежити доступ до панелі лише за наявності дротового підключення, проте, на жаль, ця опція трапляється досить рідко.

7. Оновіть мікропрограму

Кожен виробник роутерів, що поважає себе і клієнтів, постійно вдосконалює програмне забезпечення свого обладнання і регулярно випускає оновлені версії мікропрограм («прошивок»). У нових версіях перш за все виправляються виявлені вразливості, а також помилки, що впливають на стабільність роботи.

Зверніть увагу на те, що після оновлення всі зроблені вами налаштування можуть скинутися до заводських, тому є сенс зробити їхню резервну копію – також через веб-інтерфейс.

8. Перейдіть до діапазону 5 ГГц

Базовий діапазон роботи мереж Wi-Fi – це 2,4 ГГц. Він забезпечує впевнений прийом більшістю існуючих пристроїв на відстані приблизно до 60 м у приміщенні та до 400 м поза приміщенням. Перехід у діапазон 5 ГГц знизить дальність зв'язку в два-три рази, обмеживши для сторонніх можливість проникнути у вашу бездротову мережу. За рахунок меншої зайнятості діапазону, ви зможете також помітити швидкість передачі, що підвищилася, і стабільність з'єднання.

Мінус у цього рішення лише один – далеко не всі пристрої працюють з Wi-Fi стандарту IEEE 802.11ac у діапазоні 5 ГГц.

9. Вимкніть функції PING, Telnet, SSH, UPnP та HNAP

Якщо ви не знаєте, що ховається за цими абревіатурами, і не впевнені, що ці функції вам обов'язково знадобляться, знайдіть їх у налаштуваннях роутера і вимкніть. Якщо є така можливість, замість закриття портів виберіть прихований режим (stealth), який при спробах зайти на них ззовні зробить ці порти «невидимими», ігноруючи запити та «пінги».

10. Увімкніть брандмауер роутера

Якщо у вашому роутері є вбудований брандмауер, рекомендуємо його включити. Звичайно, це не бастіон абсолютного захисту, але в комплексі з програмними засобами (навіть із вбудованим у Windows брандмауером) він здатний гідно чинити опір атакам.

11. Вимкніть фільтрацію за MAC-адресами

Хоча на перший погляд здається, що можливість підключення до мережі лише пристроїв із конкретними MAC-адресами повністю гарантує безпеку, насправді це не так. Більше того, воно робить мережу відкритою навіть для не дуже винахідливих хакерів. Якщо зловмисник зможе відстежити вхідні пакети, він швидко отримає список активних MAC-адрес, оскільки у потоці даних вони передаються в незашифрованому вигляді. А підмінити MAC-адресу не проблема навіть для непрофесіонала.

12. Перейдіть на інший DNS-сервер

Замість використання DNS-сервера вашого провайдера можна перейти на альтернативні, наприклад, Google Public DNS або OpenDNS . З одного боку, це може прискорити видачу інтернет-сторінок, а з іншого – підвищити безпеку. Наприклад, OpenDNS блокує віруси, ботнети та фішингові запити по будь-якому порту, протоколу та додатку, і завдяки спеціальним алгоритмам на базі Великих Даних здатний передбачати та запобігати різноманітним загрозам та атакам. При цьому Google Public DNS – це швидкісний DNS-сервер без додаткових функцій.

13. Встановіть альтернативну «прошивку»

І, нарешті, радикальний крок для того, хто розуміє, що робить – це встановлення мікропрограми, написаної не виробником вашого роутера, а ентузіастами. Як правило, такі «прошивки» не тільки розширюють функціональність пристрою (зазвичай додаються підтримка професійних функцій на кшталт QoS, режиму мосту, SNMP і т.д), але й роблять його більш стійким до вразливостей – у тому числі за рахунок нестандартності.

Серед популярних open-source "прошивок" можна назвати засновані на Linux

Про домашні мережі вже було сказано дуже багато красивих слів, тож одразу переходимо до справи.

омашня мережа вимагає акуратного та дбайливого до себе ставлення. Вона потребує захисту від різних факторів, а саме:

• від хакерів та мережевих напастей, типу вірусів та недбайливих користувачів;
• атмосферних явищ та недосконалості побутової електромережі;
• людського фактора, тобто рук, що загребають.

Хоча наш журнал і комп'ютерний, але в цій статті ми переважно говоритимемо на некомп'ютерні теми. Інформаційний захист розглянемо лише загалом, без конкретики. А ось деякі інші аспекти заслуговують на увагу, і насамперед тому, що про них рідко згадують.

Отже, почнемо розмову з відомої теми.

Загребають руки

покликати на свідомість людей не варто - гарне обладнання з лампочками, що миготять, неминуче приваблює всіх, хто здатний його взяти. В принципі, щоб убезпечити домашню мережу, можна домогтися того, що все обладнання буде розміщене в квартирах користувачів, але іноді виникає потреба використовувати горище або подібне приміщення. Зазвичай там зручно ставити роутери, хаби, репітери тощо. Поставити – це не проблема. Найчастіше адміністрація ЖЕКів та ДЕЗів йде назустріч та дає дозвіл. Головне завдання полягає в тому, щоб усе це добре сховати. Оскільки автор теж є користувачем домашньої мережі та брав участь у її створенні, поговоримо про ті рішення, які нам видалися зручними. У нашому випадку виявилося досить ефективно використовувати ґратчастий ящик із замком, з якого назовні виходять дроти. Використовувати цільну скриньку з малою кількістю вікон не варто, оскільки комп'ютеру там стане спекотно, особливо влітку. Погодьтеся, рішення просте та дешеве. Тим, хто скаже, що і скриньку можна потягнути, відповім: у квартиру теж нескладно залізти. Те саме стосується «тарілок». З хабами останнім часом виникла інша проблема: там багато лампочок, от люди й беруть їх за вибухові пристрої. Залишаються дроти: їх сховати неможливо. Тому ризик, що їх обріжуть, є. Адже деякі з високовольток знімають. А ось наступна тема – це вже деяка претензія на освіченість тих, хто прокладає мережу.

Електрична безпека

десь є кілька аспектів. Перший - стабільна робота пристроїв, які забезпечують функціонування мережі. Для цього потрібне хороше електропостачання наших будинків, що, на жаль, не завжди можливе. Мають місце стрибки та перепади напруги, запросто може статися аварія або з'явиться необхідність тимчасово відключити електрику. Отож, звичайно, не захистишся, та напевно і мережа не настільки важлива, щоб перебої в її роботі мали якісь фатальні наслідки для користувачів. Проте існують пристосування, які можуть згладити (у прямому та переносному значенні) проблему, - це мережеві фільтри. Від відключення вони не врятують, а ось від стрибків напруги цілком. Ви можете дещо покращити шанси стабільної роботи, купивши кілька таких фільтрів, оскільки їхня ціна невисока. Наступний етап - UPS, які, звичайно, дорожчі, але надають нові можливості. По-перше, можна пережити короткий (конкретний термін залежить від ціни) відключення харчування. По-друге, той самий захист від стрибків напруги. Але не слід забувати, що є два принципово різні види UPS: BACK і SMART. Перші вміють лише підтримувати харчування, доки є запас у батареї. Другі можуть спілкуватися з комп'ютером і вимкнути його, щоб уникнути збоїв при несподіваному вимкненні. Очевидно, що для забезпечення безпеки комп'ютерів на горищах вкладати гроші в BACK UPS безглуздо. Щоб ефективно його використовувати, потрібно сидіти поруч із ним і за необхідності все вимикати. Застосування SMART UPS встає в копійчину. Тут треба думати, що для вас дорожче: перебої та можлива втрата обладнання через різкі відключення або сотні півтори доларів за один SMART UPS.

Другий аспект - взаємодія із звичайною електричною мережею. Ця проблема виникає, коли необхідно тягнути мережеві дроти у безпосередній близькості від силових кабелів. У деяких будинках цього можна уникнути. Там є хитрі дірки та ходи, куди можна просунути дроти. У нашому будинку, наприклад, таких дірок немає, і тягли ми дроти по стояку поруч із телефонною лінією. Скажу чесно – вкрай незручно. Тягнули ми кручений парою, а просунути в маленьку дірочку більше п'яти проводів, не обірвавши телефонної лінії, вкрай складно. проте це можливо. У нашому випадку залишалося сподіватися, що наводок не буде. Можна, звичайно, купити екрановану кручену пару, але вона вам знадобиться тільки в тому випадку, коли мережеві та силові дроти будуть йти впереміш. Взагалі-то, наведення - річ нечаста, оскільки занадто різні частоти передачі сигналу. Що ще пов'язано із силовими проводами – так це заземлення. Річ безперечно корисна, але в старих будинках заземлення просто відсутня. У нашому будинку взагалі ситуація аномальна: у будинку електроплити, мережа трифазна, є робоча нуль, але немає землі. В принципі, можливе заземлення на батарею радіатора, якщо, звичайно, ніхто, крім вас, до цього не здогадався. Ось у нашому будинку вже хтось щось заземлив – тепер у мене в квартирі напруга між трубою опалення та земляним контактом близько 120 В, що дуже не слабо, смію вас запевнити.

І третій аспект - повітряні, або міжбудинкові з'єднання. Йдеться, звичайно, про мережні проводи. Оскільки відстані зазвичай немаленькі, використання кручений пари важко (її обмеження - 80 м). Тому зазвичай кидають коаксіальний провід, у якому другий канал є екраном першого. Щоправда, на цьому екрані взагалі індукується все, що завгодно. Особливо небезпечні грози, коли може накопичуватися справді великий заряд. До чого це призводить, очевидно: заряд потрапляє в мережеву картку комп'ютера, що стоїть на горищі, і з величезною ймовірністю гробить її або весь комп'ютер. Для захисту від цього є пристрої, звані протектами, які встановлюються на кінцях проводів. Однак вони теж не досконалі, і через них часом пробиває. Є ще так званий магістральний коаксіал з додатковим екраном, ніяк не пов'язаним з даними, але цей провід коштує навіть дорожче, ніж звичайна кручена пара.

А тепер переходимо до основної для мережевиків проблеми – інформаційної безпеки.

Інформаційна безпека

а мій погляд, це найцікавіше питання, яке, проте, буде детально висвітлено в інших статтях цього спецвипуску.

За більш-менш пристойної кількості користувачів мережа має свій поштовий сервер, DNS, дуже часто - власну сторінку. Таким чином, провайдеру залишається лише канал та загальна статистика. Тип каналу може бути будь-який - радіо або оптоволокно, що не суттєво. Істотно побудова мережі.

Перша проблема – це взаємовідносини користувачів. Поки ви поєднуєтеся з друзями в одному будинку - це ще нічого. Ви один одного знаєте, і, як то кажуть, люди не випадкові. Ви разом граєте по мережі, обмінюєтеся файлами, викладаєте свої мережеві диски на загальний огляд цікаві програми тощо. Коли мережа розширюється, то з'являються нові люди, нові інтереси. Деякі відверто починають перевіряти свої здібності хакерів. Ви скажете, що це треба припиняти докорінно, відключати довічно і т.д. і т.п. Все правильно - карати треба, але потрібно вміти та відбивати подібні атаки. Ви повинні бути готові до того, що хтось і зсередини може підкласти свиню. Іноді це трапляється не з вини користувача, точніше, не з прямої його вини (може, у нього з'явився вірус, який псує життя сусідам), але в будь-якому разі такої ситуації не можна не враховувати.

Друга проблема – це керівництво, тобто «адміни». Хоча мережа і проста, адміни мають бути. При цьому не варто думати, що це може бути будь-яка людина, яка хоч трохи розуміється на UNIX. Це серйозна робота, яку слід виконувати: стежити за мережею, швидко реагувати на несправності. Ну і, звичайно, потрібно розбиратися в адмініструванні: вміти грамотно налагодити шлюз, firewall, організувати статистику, пошту і, можливо, ще щось. Все це має працювати стабільно та швидко. Плюс до того, що у керівництва мережі з'являється і фінансова відповідальність. Їм сплачують гроші за роботу мережі. І логічно, що люди розраховують отримати за ці гроші нормальний якісний зв'язок. Ситуація особливо загострюється, коли користувачів стає багато. Не всі можуть з розумінням поставитися до того, що адмінів, скажімо, три користувачів 150, а аварія взагалі у зовнішнього провайдера.

Третя проблема – це статистика. Організувати її нескладно. Програм, що здійснюють білінг, тобто роботу з рахунками, а в нашому випадку – облік трафіку досить багато. Встановити таку програму, розібратися з її роботою та почати вважати кожен байт – справа нехитра. Потрібно не забувати робити резервні копії. Бажано щодня. добре б робити такі копії з усіх матеріалів і файлів, які є надбанням усієї мережі, проте особливо важливою є інформація про користувачів та їх статистика.

І, нарешті, безпосередньо інформація. По-перше – це шлюз. Потрібно налаштувати на ньому firewall так, щоб мережа була реально безпечною. Для цього потрібно пропускати лише свої пакети, перевіряти, що відбувається всередині мережі, звичайно, стежити за спробами вторгнення та постійно оновлювати систему. По-друге – це пошта. Добре було б перевіряти пошту на наявність вірусів відразу після її приходу на поштовий сервер мережі. Це може позбавити багатьох клопотів надалі. Якщо користувачі неуважні та налаштування їхніх браузерів дозволяють вірусам проникати в комп'ютер, то така перевірка убезпечить як самих цих користувачів, так і їхніх сусідів – якщо вірус поширюється по мережі. По-третє, це можливості користувачів. Потрібно дозволяти лише те, що потрібно. Я маю на увазі мережні порти. Чим менше їх відкрито, тим простіше стежити за тим, що відбувається в мережі. Якщо відкриті ігрові порти або ще якісь неробочі, то розумно робити їх доступними лише всередині мережі.

З цією проблемою тісно пов'язана проблема створення користувачами власних ресурсів, наприклад, Web-серверів. Видається логічним, що користувач може підняти свій сервер на власному комп'ютері. Однак цим створюються нові можливості для невгамовних хакерів. Чи вам це потрібно? Може бути. Але в цьому випадку ви як адміністратор повинні або стежити за комп'ютером цього користувача, або довіряти досвіду абонента, що підняв свій сервер.

Ось, мабуть, і все, чого хотілося привернути вашу увагу. Потрібно підкреслити ще раз, що мережа, зокрема й домашня, - це комп'ютери, порти і хакери. Це ще, банальні складнощі у відносинах з людьми, проблема безпеки обладнання, фізична та електрична безпека. Багато хто про це не замислюється, тому що просто звикли бачити вже готову інфраструктуру в офісі або деінде, хоча вже при створенні домашньої мережі починають виникати питання. Те, про що тут розказано, частково мало місце при створенні мережі в нашому районі. Тому багато питань добре знайомі автору. Можливо, це спроба застерегти інших від помилок, яких ми самі припустилися або яких нам вдалося уникнути завдяки «старшим товаришам», які вже мали певний досвід.

Комп'ютерПрес 3"2002

Avast завжди намагається бути попереду, коли справа стосується захисту користувачів від нових загроз. Дедалі більше людей дивляться фільми, спортивні трансляції та телешоу на смарт ТБ. Вони контролюють температуру у своїх будинках за допомогою цифрових термостатів. Вони носять смарт-годинник та фітнес-браслети. В результаті потреби безпеки розширюються за межі персонального комп'ютера, щоб охопити всі пристрої в домашній мережі.

Тим не менш, домашні роутери, які є ключовими пристроями інфраструктури домашньої мережі, часто мають проблеми безпеки та забезпечують простий доступ до хакерів. Нещодавнє дослідження компанії Tripwire показало, що 80 відсотків роутерів, що найбільше продаються, мають уразливості. Більш того, найпоширеніші комбінації для доступу до адміністративного інтерфейсу, зокрема admin/admin або admin/без пароля, використовуються в 50 відсотках роутерів по всьому світу. Ще 25 відсотків користувачів використовують адресу, дату народження, ім'я або прізвище як паролі до роутера. В результаті більше 75 відсотків роутерів по всьому світу є вразливими для простих парольних атак, що відкриває можливості розгортання загроз у домашній мережі. Ситуація з безпекою маршрутизаторів сьогодні нагадує 1990-ті, коли нові вразливості виявлялися щодня.

Функція “Безпека домашньої мережі”

Функція “Безпека домашньої мережі” в Avast Free Antivirus, Avast Pro Antivirus, Avast Internet Security та Avast Premier Antivirus дозволяє вирішувати ці проблеми за допомогою сканування налаштувань роутера та домашньої мережі на предмет потенційних проблем. У Avast Nitro Update двигун виявлень інструменту "Безпека домашньої мережі" був повністю перероблений - було додано підтримку багатопоточного сканування і було реалізовано покращений детектор злому DNS. Двигун тепер підтримує сканування протоколу ARP та сканування портів, які виконуються на рівні драйвера ядра, що дозволяє у кілька разів прискорити перевірку порівняно з попередньою версією.

“Безпека домашньої мережі” може автоматично блокувати атаки на роутер із крос-сайтовими фальшивими запитами (CSRF). CSRF-експлойти експлуатують уразливості сайтів і дозволяють кіберзлочинцям передавати несанкціоновані команди на веб-сайт. Команда імітує інструкцію користувача, який відомий сайту. Таким чином, кіберзлочинці можуть видавати себе за користувача, наприклад, переказувати гроші жертви без її відома. Завдяки CSRF-запитам, злочинці можуть віддалено вносити зміни в налаштування роутера для того, щоб перезаписати параметри DNS та перенаправити трафік на шахрайські сайти

Компонент “Безпека домашньої мережі” дозволяє сканувати налаштування домашньої мережі та роутера щодо потенційних проблем безпеки. Інструмент виявляє слабкі або стандартні паролі Wi-Fi, вразливі роутери, скомпрометовані підключення до Інтернету та увімкнений, але не захищений протокол IPv6. Avast виводить список всіх пристроїв у домашній мережі, щоб користувачі могли перевірити, що підключені лише відомі пристрої. Компонент надає прості рекомендації щодо усунення виявлених уразливостей.

Інструмент також повідомляє користувача про підключення нових пристроїв до мережі, підключених до мережі телевізорів та інших пристроїв. Тепер користувач може відразу знайти невідомий пристрій.

Новий проактивний підхід наголошує на загальної концепції забезпечення максимального всебічного захисту користувачів.