Покращуємо безпеку домашньої мережі

Головну загрозу безпеці ваших даних несе Всесвітня павутина. CHIP розповість, як забезпечити надійний захист домашньої мережі.

Головну загрозу безпеці ваших даних несе Всесвітня павутина. CHIP розповість, як забезпечити надійний захист домашньої мережі. Найчастіше користувачі помилково вважають, що для захисту приєднаного до Інтернету домашнього ПК цілком достатньо звичайного антивірусу. В оману вводять і написи на коробках роутерів, які свідчать, що в цих пристроях на апаратному рівні реалізовано потужний брандмауер, здатний захистити від хакерських атак. Ці твердження вірні лише частково. Перш за все, обидва інструменти вимагають грамотного налаштування. При цьому багато антивірусних пакетів просто не забезпечені такою функцією, як брандмауер.

Тим часом грамотна побудова захисту починається вже з самого з’єднання з Інтернетом. У сучасних домашніх мережах, як правило, застосовують Wi-Fi-роутери з використанням кабельного Ethetnet-з’єднання. Через локальну мережу вихід в Інтернет мають настільні комп’ютери і ноутбуки, смартфони і планшети. Причому в єдиній зв’язці знаходяться як самі ПК, так і периферійні пристрої, такі як принтери і сканери, багато з яких підключаються саме через мережу.

Зламавши вашу точку доступу, зловмисник може не тільки користуватися вашим підключенням до Інтернету і керувати домашніми комп’ютерними пристроями, а й розміщувати у Всесвітній павутині незаконний контент, використовуючи вашу IP-адресу, а також викрасти інформацію, що зберігається на обладнанні, підключеному до мережі. Сьогодні CHIP розповість про основні правила захисту мереж, підтримки їх працездатності та профілактики від злому.

Апаратні засоби

Сучасне мережеве обладнання в більшості своїй вимагає налаштування засобів безпеки. Насамперед мова йде про різні фільтри, мережеві екрани і списки доступу за розкладом. Параметри захисту можуть вказати і непідготовлений користувач, проте слід знати деякі нюанси.

ВИКОРИСТОВУЄМО ШИФРУВАННЯ ТРАФІКУ Налаштовуючи точку доступу, подбайте про включення найбільш надійних механізмів захисту трафіку, створіть складний, безглуздий пароль і використовуйте протокол WPA2 з алгоритмом шифрування AES. Протокол WEP застарів і може бути зламаний за лічені хвилини.

РЕГУЛЯРНО ЗМІНЮЄМО ОБЛІКОВІ ДАНІ Встановлюйте надійні паролі доступу і регулярно (наприклад, раз на півроку) змінюйте їх. Найпростіше зламати пристрій, на якому користувач залишив стандартні логін і пароль «admin »/« admin».

ПРИХОВУЄМО SSID Параметр SSID (Service Set Identifier) — це публічне ім’я бездротової мережі, яке транслюється в ефір, щоб його могли бачити пристрої користувача. Використання параметра приховування SSID дозволить захиститися від початківців, але тоді для підключення нових пристроїв необхідно буде вручну вводити параметри точки доступу. Щоб виключити доступ сторонніх до вашої Wi-Fi-мережі, можна зробити невидимим її ідентифікатор — параметр SSID РАДА При первинному налаштуванні точки доступу поміняйте SSID, оскільки це ім’я відображає модель роутера, що може послужити підказкою зломщику при пошуку вразливостей.

НАЛАШТОВУЄМО ВБУДОВАНИЙ БРАНДМАУЕР Маршрутизатори в більшості випадків оснащуються простими версіями мережевих екранів. З їх допомогою не вдасться досконально налаштувати безліч правил для безпечної роботи в мережі, але можна перекрити основні вразливості, або, наприклад, заборонити роботу поштових клієнтів.

ОБМЕЖЕННЯ ДОСТУПУ ЗА MAC-АДРЕСАМИ Використовуючи списки MAC-адрес (Media Access Control), можна заборонити доступ до локальної мережі тим пристроям, фізичні адреси яких не внесені до такого переліку. Для цього вам потрібно вручну створити списки допущеного до мережі обладнання. У кожного пристрою, забезпеченого мережевим інтерфейсом, є унікальна, присвоювана йому на заводі MAC-адреса. Його можна дізнатися, подивившись на етикетку або маркування, нанесене на обладнання, або за допомогою спеціальних команд і мережевих сканерів. При наявності веб-інтерфейсу або дисплея (наприклад, у роутерів та мережевих принтерів) MAC-адресу ви знайдете в меню налаштувань.

MAC-адресу мережевої карти комп’ютера можна дізнатися в її властивостях. Для цього потрібно зайти в меню «Панель керування | Мережі та Інтернет | Центр керування мережами і загальним доступом», потім у лівій частині вікна перейти за посиланням «Зміна параметрів адаптера», клацнути правою клавішею миші за використовуваною мережевою картою і вибрати «Стан». У вікні, що відкрилося, потрібно натиснути кнопку «Відомості» і переглянути рядок «Фізична адреса», де буде відображено шість пар цифр, що позначають MAC-адресу вашої мережевої карти. MAC-адресу пристрою можна дізнатися стандартними засобами Windows у розділі «Мережа та Інтернет» Панелі управління Є і більш швидкий спосіб. Щоб скористатися ним, натисніть комбінацію клавіш Win + R, у рядку, що з’явився, введіть CMD і клацніть «OK». У діалоговому вікні введіть команду: ipconfig • —all Натисніть Enter. Знайдіть у відображених даних рядки «Фізична адреса» — це значення і є MAC-адресою.

Програмні засоби

Захистивши мережу фізично, необхідно подбати і про програмну частину «оборони». У цьому вам допоможуть комплексні антивірусні пакети, мережеві екрани та сканери вразливостей.

НАЛАШТОВУЙТЕ ДОСТУП ДО ТЕК НЕ розташовуйте теки з системними або просто важливими даними у директоріях, доступ до яких відкрито користувачам внутрішньої мережі. Крім того, намагайтеся не створювати теки, відкриті для доступу з мережі, на системному диску. Всі подібні директорії, якщо немає особливої необхідності, краще обмежити атрибутом «Тільки читання». В іншому випадку в загальній папці може оселитися замаскований під документи вірус.

ВСТАНОВЛЮЄМО МЕРЕЖЕВИЙ ЕКРАН Програмні мережеві екрани, як правило, прості в налаштуванні і мають режим самонавчання. При його використанні програма запитує у користувача, які з’єднання він схвалює, а які вважає за потрібне заборонити.

Рекомендуємо використовувати персональні брандмауери, вбудовані в такі популярні комерційні продукти, як Kaspersky Iinternet Security, Norton internet Security, NOD Internet Security, а також безкоштовні рішення — наприклад, Comodo Firewall. Штатний брандмауер Windows, на жаль, не може похвалитися надійним забезпеченням безпеки, надаючи лише базові налаштування портів. Антивірусний пакет Kaspersky Internet Security дозволяє тонко налаштувати правила доступу до Мережі для будь-якої програми Тест на вразливості

Найбільшу небезпеку для працездатності комп’ютера і мережі становлять програми, що містять «діри», і неправильно налаштовані засоби захисту. Протестувати систему на наявність критичних вразливостей допоможуть підібрані CHIP утиліти.

XSpider Легка у використанні програми сканування на наявність вразливостей. Вона дозволить швидко виявити більшість актуальних проблем, а також надасть їх опис і, в деяких випадках, способи усунення. На жаль, деякий час тому утиліта стала платною, і в цьому, мабуть, її єдиний мінус. XSpider буквально за декілька кліків знайде більшість вразливостей у вашій системі Nmap Некомерційний сканер мережі з відкритим вихідним кодом. Програма спочатку розроблялася для користувачів UNIX, але згодом, завдяки збільшеній популярності, була портована на Windows. Утиліта розрахована на досвідчених користувачів. Nmap має простий і зручний інтерфейс, однак розібратися у даних без базових знань, що видаються нею, буде непросто. KIS 2013 Цей пакет надає не тільки комплексний захист, а й засоби діагностики. За його допомогою можна просканувати встановлені програми на наявність критичних вразливостей. За підсумками даної процедури програма представить список утиліт, проломи в яких потрібно закрити, при цьому можна дізнатися докладні відомості про кожну з вразливостей і способи її усунення.

Поради з монтажу мережі

Зробити мережу більш захищеною можна не тільки на етапі її розгортання і налаштування, але і коли вона вже є. При забезпеченні безпеки необхідно враховувати кількість пристроїв, розташування мережевого кабелю, поширення сигналу Wi-Fi і типи перешкод для нього.

РОЗТАШОВУЄМО ТОЧКУ ДОСТУПУ Оцініть, яку територію вам потрібно ввести в зону дії Wi-Fi. Якщо необхідно охопити тільки область вашої квартири, то не варто розміщувати бездротову точку доступу поруч з вікнами. Це знизить ризик перехоплення і злому слабозахищеного каналу вардрайверами — людьми, які полюють за безкоштовними бездротовими точками доступу в Інтернет і використовують у тому числі і незаконні методи. При цьому слід враховувати, що кожна бетонна стіна знижує потужність сигналу вдвічі. Також пам’ятайте, що дзеркало платяної шафи є практично непроникним екраном для Wi-Fi-сигналу, що в окремих випадках можна використовувати для запобігання поширення радіохвиль у певних напрямках у квартирі. Крім того, деякі Wi-Fi-роутери дозволяють апаратно налаштувати потужність сигналу. За допомогою цього пункту ви можете штучно забезпечити доступ тільки для користувачів, які перебувають у приміщенні з точкою доступу. Недоліком такого методу є можлива відсутність сигналу у віддалених місцях вашої квартири. Потужність передачі Wi-Fi-сигналу можна навмисно знизити в налаштуваннях роутера, щоб обмежити територію покриття ПРОКЛАДАЄМО КАБЕЛІ Мережа, організована переважно з використанням кабелю, забезпечує найвищі швидкість і надійність зв’язку, і при цьому виключається можливість вклинювання в неї з боку, як це може статися з з’єднанням по Wi-Fi.

Щоб уникнути несанкціонованого підключення, при прокладанні кабельної мережі подбайте про захист проводів від механічних пошкоджень, використовуйте спеціальні кабель-канали і не допускайте ділянок, на яких шнур буде занадто сильно провисати або, навпаки, надмірно натягнуть. Не прокладайте кабель поруч з джерелами сильних перешкод або в зоні з поганим середовищем (критичні температури і вологість). Також ви можете використовувати екранований кабель, що володіє додатковим захистом.

ЗАХИЩАЄМОСЯ ВІД СТИХІЇ Дротові та бездротові мережі схильні до впливу грози, причому в деяких випадках удар блискавки може вивести з ладу не тільки мережеве обладнання або мережеву карту, але і безліч компонентів ПК. Для зменшення ризику насамперед не забувайте про заземлення електричних розеток і компонентів ПК. Використовуйте пристрої типу Pilot, в яких застосовуються захисні схеми від перешкод і стрибків напруги.

Крім того, кращим рішенням може стати джерело безперебійного харчування (ІБП). Сучасні версії включають як стабілізатори напруги і автономне харчування, так і спеціальні роз’єми для підключення через них мережевого кабелю. Якщо раптом в обладнання інтернет-провайдера вдарить блискавка, такий ІБП не пропустить шкідливий стрибок напруги в мережеву карту вашого ПК. Варто пам’ятати, що в будь-якому випадку заземлення розеток або самого обладнання надзвичайно важливо.

Використання засобів побудови VPN-тунелів

Досить надійним способом захисту переданої по мережі інформації є VPN-тунелі (Virtual Private Network). Технологія тунелювання дозволяє створити зашифрований канал, по якому передаються дані між кількома пристроями. Організація VPN з метою підвищення захисту інформації можлива всередині домашньої мережі, однак це досить трудомістко і вимагає спеціальних знань. Найбільш поширений метод використання VPN — з’єднання до домашнього ПК ззовні, наприклад з робочого комп’ютера. Таким чином дані, що передаються між вашими машинами, будуть добре захищені шифруванням трафіку. Для цих цілей краще використовувати досить надійну безкоштовну програму Hamachi. В даному випадку будуть потрібні лише базові знання з організації VPN, що під силу і непідготовленому користувачеві.