Как защитить домашнюю сеть от вирусов

Обновлено: 06.05.2024

Вы уверены, до хорошо защитили домашнюю сеть от злоумышленников? Советуем вам убедиться в этом еще раз.

5 сентября 2013

Если сразу обобщить, то защита домашней сети является непростым делом. Конечно, если у вас всего лишь беспроводной маршрутизатор и ноутбук, то это несложно. Но вот если к ним добавляются еще несколько компьютеров, смартфоны с планшетами, сетевые принтеры, да еще и телевизор Smart TV и медиаплеер, то задача становится намного сложнее. Особенно если учесть, что многие из этих устройств пока не имеют достаточной надежности и полны уязвимостей. Думаю, в будущем это изменится в лучшую сторону, но пока все обстоит именно так.

Давайте не станем совсем уж усложнять, а представим, что в вашей сети находятся маршрутизатор, пара компьютеров, смартфон или планшет, ну, может быть, сетевой принтер, Smart TV, игровая приставка Xbox или какая-то другая аналогичная.

Наиболее вероятный сценарий заключается в том, что все эти устройства требуют выхода в Интернет через беспроводное соединение. Таким образом, ваш маршрутизатор является туннелем для выхода всех устройств во внешнюю сеть. Ну а если он не защищен, то и все остальные устройства тоже, можно сказать, без защиты. Это касается беспроводного соединения. Конечно, в идеале было бы лучше подключить все по кабелю, но это не всегда удобно. И уж совсем некомфортно.

Начнем с маршрутизатора. Очевидно, вы хотите установить на Wi-Fi уникальный сложный пароль, который невозможно взломать. Сделайте это обязательно. Кстати, большинство новых маршрутизаторов умеют создавать гостевую сеть. Воспользуйтесь этим, предоставив гостям возможность выхода в сеть. Таким образом, вы всегда сможете контролировать свою сеть, не пуская в нее неизвестные устройства, которые могут быть не защищены. Или уже заражены чем-то.

Как только вы получаете инструмент управления маршрутизатором, будьте осторожны и внимательны. Как правило, изначально беспроводная сеть в нем не имеет пароля. Поэтому обязательно зайдите в раздел, посвященный Wi-Fi, и изучите установки по умолчанию. Обычно отсутствие пароля делается для того, чтобы легко соединить между собой два устройства для дальнейшей настройки маршрутизатора под свои цели. И эти настройки необходимо произвести, иначе в сеть легко попадет злоумышленник, после чего он сможет настроить все так, чтобы сеть работала в его пользу. Поэтому обязательно установите уникальный пароль на Wi-Fi.

Кстати, очень правильным решением станет отключение администрирования роутера через Wi-Fi. Это означает, что вход в панель администратора в дальнейшем будет возможен только при непосредственном подключении к устройству Ethernet-кабелем. Мы готовим материал о более детальном освещении вопроса блокировки маршрутизатора, поэтому следите за нами на Kaspersky Daily.

Эта и миллион других причин должны подвигнуть вас убедиться в защите вашей сети и всех устройств в ней. Конечно, верно утверждение, что если ваш маршрутизатор защищен, то защищена и вся ваша сеть. С другой стороны, если одно из ваших устройств заражено, то уже неважно, защитили ли вы свою сеть инструментами роутера. Поэтому стоит убедиться, что защищена не только вся сеть, но и каждое устройство в ней. Причем не только стационарные, но и все мобильные гаджеты тоже.

Если одно из ваших устройств заражено, то уже неважно, защитили ли вы свою сеть инструментами роутера.

Используйте программное и аппаратное обновления на компьютерах, маршрутизаторах, смартфонах, планшетах, принтерах, игровых приставках и телевизорах, которые подключены к вашей сети.

Напомню вам, что в этих обновлениях обычно содержатся исправления всех известных уязвимостей. Обычно эти обновления как раз и выходят после обнаружения очередного эксплойта, поэтому если вы обновили систему, то уже получили некоторую защиту от него. Проблема только в том, что не все настолько сознательны, чтобы регулярно обновляться. И если бы меня попросили дать только один совет по безопасности, то он бы гласил: регулярное обновление устройств — гарантия безопасности.

Суть всего этого повествования в том, чтобы вы поняли, что необходимо держать свою сеть под контролем и в безопасности. Помните, что надежность любой защиты равна надежности самого слабого звена в ней. Поэтому следуйте рекомендациям: ставьте надежные пароли, регулярно обновляйте программное обеспечение, используйте надежные защитные программы, а также будьте в курсе всего, что связано с угрозами в Сети, читая этот и другие блоги по безопасности.

Домашняя сеть – это группа подключенных к интернету и друг к другу устройств: компьютеров, игровых систем, принтеров, смартфонов, планшетов и носимых устройств.

Устройства можно объединить в домашнюю сеть двумя способами:

1. Проводная сеть – используется для подключения принтеров и сканеров.
2. Беспроводная сеть – соединяет устройства без проводов, например планшеты и мобильные телефоны.

Защищенная домашняя сеть – это важный аспект интернет-безопасности. Злоумышленники могут использовать уязвимые сети для совершения киберпреступлений: установки вредоносных программ, кражи информации и личных данных, создания ботнетов. В этом руководстве описаны основные действия по защите домашней сети. Они помогут вам и вашей семье безопасно пользоваться интернетом.

Как изменить имя используемой по умолчанию домашней сети

Первым шагом в обеспечении безопасности домашней сети является изменение ее имени. Имя сети представляет собой идентификатор SSID – Service Set Identifier (идентификатор набора служб). Если открыть список сетей Wi-Fi на ноутбуке или смартфоне, отобразится список идентификаторов SSID ближайших устройств. Роутеры транслируют идентификаторы SSID, чтобы находящиеся поблизости устройства могли обнаруживать доступные сети.

Идентификаторы SSID имеют длину до 32 символов. Обычно производители задают используемые по умолчанию идентификаторы SSID, состоящие из названия компании и случайного набора цифр и букв. Заданное по умолчанию значение идентификатора SSID рекомендуется изменить по следующим причинам:

• Если злоумышленники узнают производителя вашего роутера, они смогут выяснить уязвимости модели и способы их эксплуатации.
• Отличное от используемого по умолчанию имя роутера может отпугнуть сетевых злоумышленников, поскольку показывает, что роутер управляется более строго, чем если бы для него использовалось заданное по умолчанию имя.

Измените идентификатор SSID так, чтобы в нем не была указана марка или модель роутера. Избегайте использования в идентификаторах личной информации, например, имени, адреса или номера телефона. В качестве идентификатора SSID рекомендуется использовать простое имя, не привлекающее внимание злоумышленников, сканирующих сети Wi-Fi в вашем районе.

Используйте надежный пароль для роутера

Беспроводные роутеры обычно поставляются с предварительно установленными паролями. Злоумышленники могут подбирать такие пароли, особенно если им известен производитель роутера, поэтому изменение пароля поможет обеспечить безопасность домашнего роутера. Обычно это делается путем подключения к интерфейсу управления роутера через браузер. В качестве адреса используется заданный по умолчанию IP-адрес роутера, указанный на наклейке на его нижней стороне или в руководстве по настройке.

Надежный пароль состоит минимум из 12 символов, в идеале – больше, и содержит сочетание заглавных и строчных букв, цифр и специальных символов. Для безопасности домашней сети рекомендуется регулярно менять пароль, приблизительно каждые шесть месяцев.

Усильте шифрование сети Wi-Fi

Шифрование – важный аспект при настройке защищенного Wi-Fi. Большинство беспроводных роутеров имеют функцию шифрования, которая часто отключена по умолчанию. Включение шифрования для домашнего роутера поможет обеспечить защиту сети. Существует четыре типа систем безопасности Wi-Fi, используемые для защиты передаваемых данных, так что только устройство пользователя и Wi-Fi роутер могут прочитать передаваемую информацию.

• Wired Equivalent Privacy (протокол WEP)
• Wi-Fi Protected Access (протокол WPA)
• Wi-Fi Protected Access 2 (протокол WPA2)
• Wi-Fi Protected Access 3 (протокол WPA3)

Протоколы WPA2 и WPA3 – оптимальные варианты для защиты Wi-Fi, они новее и являются более надежными. Предыдущие версии WPA и WEP уязвимы для атак методом подбора пароля.

Если позволяет роутер, рекомендуется создать гостевую беспроводную сеть, также использующую протоколы WPA2 или WPA3 и защищенную надежным паролем. Используйте эту гостевую сеть для посетителей. Друзья и родственники, скорее всего, не будут взламывать вашу сеть, однако до подключения к вашей сети их устройства могли быть скомпрометированы или заражены вредоносными программами. Использование гостевой сети помогает повысить безопасность домашней сети.

Используйте VPN для дополнительной безопасности

Виртуальные частные сети или VPN в основном используются для повышения конфиденциальности в интернете. VPN шифруют данные, чтобы злоумышленники не моли отслеживать действия пользователей в интернете или их физическое местонахождение. Данные, защищенные с помощью VPN, проходят через роутер, поэтому даже в случае ослабления шифрования со стороны роутера, защита данных будет обеспечиваться шифрованием VPN.

VPN также может помочь для защиты IP-адреса. VPN меняет IP-адрес и он отображается так, как если бы устройство использовалось из другого местоположения. VPN можно использовать на компьютерах, ноутбуках, телефонах и планшетах.

Регулярно обновляйте прошивку роутера

Для обеспечения надлежащего уровня кибербезопасности рекомендуется регулярно обновлять программное обеспечение, включая прошивку роутера. Предыдущие версии прошивки имеют уязвимости, которыми могут воспользоваться злоумышленники. Некоторые роутеры позволяют проверять, доступны ли обновления прошивки, через интерфейс управления, другие предлагают автоматические обновления. Можно также посетить веб-сайт технической поддержки производителя роутера, чтобы выяснить, доступны ли обновления для вашей модели.

Используйте сетевой экран для защиты устройств в сети

Домашний сетевой экран защищает устройства, подключенные к домашней сети, от злоумышленников в интернете. Он работает как односторонний цифровой барьер, блокируя доступ к сети для устройств из интернета, и одновременно позволяя устройствам в сети подключаться к устройствам в интернете.

Большинство роутеров поставляются с включенным сетевым экраном. Проверьте, включен ли сетевой экран вашего роутера. Если у вашего роутера нет сетевого экрана, можно установить в системе надежный домашний сетевой экран, чтобы предотвратить атаки на роутер.

По возможности измените IP-адрес роутера

Злоумышленники могут с легкостью определить IP-адрес роутера, заданный по умолчанию. Иногда его даже можно найти в интернете. Для дополнительной защиты от атак на роутер можно изменить его адрес.

Войдите в консоль администрирования роутера и найдите раздел сетевых настроек или LAN/DHCP. Измените и сохраните свой IP-адрес, а также запишите его.

Достаточно просто изменить несколько цифр. После изменения используйте новый адрес для доступа к параметрам роутера. Если потребуется использовать исходный IP-адрес, можно восстановить заводские настройки роутера.

Настройте отдельную сеть для устройств интернета вещей

Интернет вещей относится к физическим устройствам, отличным от компьютеров, телефонов и серверов, которые подключаются к интернету, собирают и обмениваются данными. Примеры таких устройств – фитнес-трекеры, умные холодильники, умные часы и голосовые помощники, такие как Amazon Echo и Google Home.

Интернет вещей влияет на кибербезопасность:

• Чем больше устройств подключено к интернету, тем больше потенциальных точек входа в сеть для злоумышленников.
• Не все устройства интернета вещей имеют хорошую репутацию в области безопасности.

Чтобы увеличить безопасность роутера и избежать атак на него, можно настроить отдельную сеть Wi-Fi для устройств интернета вещей. Такая сеть называется VLAN – виртуальная локальная сеть. VLAN гарантирует, что самые ценные устройства – компьютеры и телефоны, содержащие конфиденциальные данные, находятся в одной сети, а менее защищенные устройства интернета вещей – в другой. Это устраняет риск того, что слабо защищенные устройства интернета вещей станут потенциальными точками входа для злоумышленников, желающих взломать ваши компьютеры и телефоны.

Использование VLAN не ограничивает функции устройств, поскольку большинство устройств интернета вещей управляются через приложения для смартфонов, подключенные к облачным службам, и, если у них есть доступ в интернет, после первоначальной настройки им не требуется связываться с мобильными телефонами и компьютерами напрямую по локальной сети.

Отключите Universal Plug and Play

Universal Plug and Play (UPnP) – это набор протоколов, который помогает устройствам обнаруживать домашнюю сеть, а также связываться с производителем для получения обновлений прошивки и материалов. UPnP – важнейший элемент интернета вещей, но, к сожалению, это также канал, который злоумышленники могут использовать для заражения устройств и добавления их в ботнеты. Кроме того, UPnP может использоваться вредоносными программами для получения высокоуровневого доступа к настройкам безопасности роутера.

Роутер взаимодействует с системой UPnP, чтобы домашние устройства получали доступ в интернет. Поскольку многие устройства не защищены паролем или один и тот же пароль используется для всех устройств, в системе безопасности возникает уязвимость.

UPnP помогает выполнить настройку устройства, однако как только устройство заработает, рекомендуется отключить на нем функции UPnP, а на роутере – совместимость с UPnP.

Отключите удаленный доступ для защиты сети от злоумышленников

Многие роутеры оснащены функциями, упрощающими удаленный доступ извне домашней сети. Однако, если вам не нужен доступ к роутеру на уровне администратора, можно спокойно отключить эти функции на панели настроек роутера. При этом снижается риск удаленного доступа и взлома роутера со стороны злоумышленников.

Если выяснится, что для отдельных приложений и устройств в вашей сети требуется удаленный доступ, эту функцию всегда можно включить повторно.

Используйте фильтрацию MAC-адресов, чтобы не допустить в сеть нежелательные устройства

Однако опытные злоумышленники умеют подделывать MAC-адреса и могут воспользоваться этой возможностью. Для взлома злоумышленникам необходимо узнать один из адресов сети, что не составляет труда для тех, кто имеет опыт прослушивания сети. Тем не менее, фильтрация MAC-адресов не позволяет злоумышленникам среднего уровня получить доступ к сети и обеспечивает еще один уровень защиты и безопасности роутера.

Подумайте, где разместить роутер

По возможности размещайте роутер в центре дома. Это не только поможет сделать доступ к сети более равномерным, но снизит уровень доступности сети для злоумышленников. По возможности рекомендуется размещать роутеры подальше от окон и наружных дверей.

Роутеры распространяют излучение сверху и снизу, а также в горизонтальном направлении. Если у вас двухэтажный дом, размещение роутера на верхней полке нижнего этажа обеспечит покрытие как верхнего, так и нижнего этажа.

Отключайте сеть, когда никого нет дома

Один из самых простых способов защитить домашнюю сеть – отключить ее, когда никого нет дома. Отключение Wi-Fi на время отсутствия снижает вероятность проникновения злоумышленников в вашу домашнюю сеть, когда вас нет дома.

Помимо снижения рисков безопасности, отключение роутера от сети на период вашего отсутствия также предотвращает его повреждение из-за скачков напряжения.

Следите за работоспособностью устройств

Компьютеры и другие устройства в домашней сети являются потенциальными точками входа злоумышленников на ваш роутер. Многие устройства, подключенные к вашей сети, являются портативными: ноутбуки, планшеты и смартфоны, а вероятность заражения портативных устройств выше, поскольку они подключаются к другим сетям и возможно используют общедоступные сети Wi-Fi. В результате повышается риск заражения вирусами и попыток взлома извне вашей домашней сети. Устройства, которые никогда не покидает домашнюю сеть, работают только с одной точкой доступа в интернет, что снижает вероятность их заражения. Для обеспечения безопасности домашнего роутера рекомендуется соблюдать следующие правила кибербезопасности:

• Регулярно обновляйте программное обеспечение, включите автоматические обновления. Патчи и новые выпуски операционных систем и приложений часто используются для устранения уязвимостей в системе безопасности.
• Используйте для защиты устройств длинные пароли, которые сложно подобрать. Не используйте один пароль для нескольких устройств. Для этого может быть полезен менеджер паролей.
• Убедитесь, что устройства защищены комплексным антивирусным программным обеспечением. Например, Kaspersky Total Security обеспечивает защиту устройств от злоумышленников, вирусов и вредоносных программ.

Выполнив перечисленные выше шаги, вы сможете максимально повысить безопасность беспроводной сети. Это обеспечит вам дополнительную уверенность при использовании домашнего интернета.

Статьи по теме:

How to Set Up a Secure Home Network

Безопасность домашней сети включает защиту от атак на роутер. В этой статье приведены рекомендации по безопасности домашнего роутера, включая настройку домашнего сетевого экрана.

Сисадмин:

Проводные сети безопаснее беспроводных. Хотя бы потому, что в них гораздо труднее вклиниться, чтобы прочитать трафик.

В любом случае атака на проводную сеть связана с физическим проникновением или нахождением на достаточно близком расстоянии (например, если получить доступ к коммутационном шкафу бизнес-центра). Как вариант, можно использовать инсайдера, чтобы подключить к сети портативное устройство с целью перехвата пакетов или создания шквала ARP запросов для атаки на коммутатор. Но приблизиться или даже проникнуть за периметр в любом случае необходимо.

Гик:

Это так, если забыть про человеческий фактор.

Мне не раз приходилось встречать сетевые розетки с активным линком в коридорах офисов. Мало того, такие розетки можно встретить во всевозможных закутках, подсобках и других местах, недоступных для видеонаблюдения. А это серьезная проблема. В такую розетку можно подключить портативное устройство, при помощи которого можно провести те или иные несанкционированные действия с отсылкой результатов, например, по WiFi.

Разумеется, можно и нужно использовать дополнительные меры защиты, такие как port security с фильтрацией по MAC. Но, во-первых, MAC можно подделать, во-вторых, это уже вторая линия обороны. И даже эту линию обороны многие сетевые администраторы предпочитают не использовать. Потому что хлопотно — нужно поддерживать систему защиты в актуальном состоянии, на это нужно время, которого может просто не быть. Эта проблема часто встречается, когда единственный системный администратора занимается всем подряд: от поддержки бухгалтерии до сетевой безопасности.

Но даже если все закрыто и безопасно, остается такая замечательная вещь, как коридорные МФУ. Тут вам, пожалуйста, и свободный порт, и MAC на шильдике написан, и даже патчкорд есть готовый. Вполне можно вечером, когда никто не печатает, вставить этот самый патчкорд в своё портативное устройство, рано утром выключить. При этом камеры видеонаблюдения покажут, что человек подходил к МФУ, а для чего подходил и что он там делал — далеко не всегда удается разобрать. Если при этом на камерах видно, что он держал в руках стопку бумаг, то обычно данный факт не вызывает особых подозрений.

Говорить о проводных сетях, что вот их-то точно никто и никогда не взломает — это неправильно. Другое дело, что для эффективного вмешательства в работу проводных сетей требуется тесный контакт. Проще говоря, кто-то должен подойти и что-то подключить к сети.

Сисадмин:

Ну так это перекрывает всё. В случае с беспроводной сетью злоумышленник может действовать на расстоянии. И это является чуть ли не решающим фактором!

Гик:

Не всё так однозначно. Трафик по кабелю внутри периметра сети обычно передается в открытом виде. В этом случае если незаконное подключение всё же состоялось, дела обстоят едва ли не хуже, чем в случае доступа по WiFi. Да, можно использовать VLAN, списки доступа ACL, но те же самые механизмы доступны и в беспроводных сетях. В организациях с высоким уровнем секретности применяются дополнительные меры защиты, например, VPN соединение от каждого рабочего места пользователя до центрального узла (сервера). Но в обычной жизни рядового офиса такие строгости встречаются далеко не так часто. Кстати, VPN внутри локальной сети можно применять и для беспроводных сетей.

Если в офисе есть переговорная, в которой проводятся и совещания с сотрудниками, и переговоры с партнерами, то необходимо каждый раз для каждого порта (розетки) прописывать на все устройства разрешения в port security. Представьте, пришли на переговоры важные люди, а их просят предъявить ноутбуки, чтобы сетевой администратор смог разрешить доступ с MAC адресов. В итоге каждый раз прописывать новый порт на коммутаторе будет весьма хлопотно. Отключить port security и ACL — это создать брешь в сети. Вот так и приходится жить между двух огней.

В то же время, данную проблему можно легко решить, если сделать гостевой WiFi.

Сисадмин:

Это не совсем так. В случае с коммутатором соединяются только два порта. В управляемых коммутаторах можно настроить зеркалирование порта, но для этого нужно получить доступ к управлению.

А беспроводные сети больше напоминают Ethernet-HUB, когда все устройства слушают один канал, трафик передается сразу по всем направлениям и сами клиенты сети решают, нужен им этот пакет или нет.

Поэтому основная и чуть ли не единственная эффективная защита WiFi — это шифрование трафика.

Гик:

Как решается проблемы с безопасностью WiFI

Как известно, абсолютной защиты не бывает, как не бывает идеальных взломов. Основной принцип борьбы заключается в том, чтобы максимально затруднить проведение атаки, сделав результат нерентабельным по отношению к затраченным усилиям.

Какими средствами мы располагаем?

Чтобы избежать путаницы, имеет смысл разделить все имеющиеся возможности и средства на две группы:

• технологии прямой защиты трафика, такие как шифрование или фильтрация по MAC адресу;
• технологии, изначально предназначенные для других целей, например, для повышения скорости, но при этом косвенным образом усложняющие жизнь злоумышленнику.

Ниже в этой статье мы рассмотрим методы защиты из первой группы. Постараемся уделить внимание и широко известным технологиям, и новинкам, которые появились в более позднее время.

Скрытие имени WiFi сети

Нехитрый способ — убрать из всеобщего обозрения имя (SSID) своей WiFi сети. На самом деле функция Hide SSID ничего не прячет, а просто перестает открыто оповещать потенциальных клиентов о наличии сети с данным именем. По идее, теперь подключиться будет возможно, если знать имя сети, тип шифрования и пароль.

При скрытом SSID, в открытый доступ все равно транслируется другой идентификатор — BSSID (Basic Service Set Identifie). Поэтому сканеры сетей WiFi могут без особого труда определить нужные параметры. Однако необходимость приложить дополнительные усилия для обнаружения скрытых WiFi сетей в разы снижает активность любопытных глаз и шаловливых рук.

Фильтрация по MAC

Охота на Rogue AP

Rogue AP — это чужие точки доступа, которые не подконтрольны сетевому администратору. Например, это может быть точка доступа, которую использует злоумышленник для перехвата паролей и другой секретной информации, когда клиенты корпоративной сети по ошибке пытаются к ней подключиться и передать учетные данные.

Большинство точек доступа компании Zyxel имеют встроенную функцию сканирования радиоэфира с целью выявления посторонних точек.

Дополнительные функции защиты

Если у злоумышленника не получается вплотную приблизиться к периметру сети, он может попытать использовать точки доступа из соседней сети, например, из другого офиса, в качестве плацдарма для атаки.

Если в качестве контроллера точек доступа используется межсетевой экран, то побороться с этим вполне возможно. Используя методы аутентификации WPA/WPA2-Enterprise, различные реализации Extensible Authentication Protocol (EAP) и встроенный межсетевой экран, маршрутизатор с контроллером беспроводной сети не только находит неавторизованные точки доступа, но и блокирует подозрительные действия в корпоративной сети, которые с большой долей вероятности несут в себе злой умысел.

В качестве примера такого борца с нарушителями можно назвать маршрутизатор USG FLEX 100.

Рисунок 1. Внешний вид маршрутизатора USG FLEX 100.

Использование ключей для доступа и шифрование трафика

Первоначально беспроводные сети работали в открытом режиме, потом появился WEP (Wired Equivalent Privacy, который впоследствии оказался весьма ненадежным), потом WPA, WPA2.

Популярный сейчас WPA2-PSK (pre-shared key) использует единственный ключ для всех клиентов сети. Помимо того, что при компрометации злоумышленник получает доступ ко всей сети, такой ключ достаточно сложно менять — нужно перенастроить все клиенты. Тем не менее из-за простоты реализации такой метод защиты применяется в домашних сетях и малом бизнесе.

До появления WiFi 6 c WPA3 самым защищенным считался WPA2 Enterprise с использованием индивидуальных динамических ключей, которые могут периодически обновляться без разрыва соединения. Для организации работы с такими ключами используется сервер авторизации (обычно RADIUS).

В Nebula для точек AX появилась функция Dynamic Personal Pre-Shared Key (DPPSK) — усовершенствованная аутентификация через облако, позволяющая использовать разные пароли (PSK) для каждого клиента. Можно указать срок действия для каждого пароля, что позволяет гибко управлять доступом к сети WiFi для большого числа устройств.

Что нового в WiFi 6?

Точки доступа с поддержкой WiFi 6, и соответственно, более безопасных технологий WPA3 уже доступны для потребителя. Например, у Zyxel выпущена линейка точек доступа бизнес-класса Unified Pro.

Точки доступа Unified Pro Zyxel WAX510D, Unified Pro Zyxel WAX650S, Unified Pro Zyxel NWA110AX поддерживают стандарт 802.11ax (Wi-Fi 6) и управление из облака Nebula, что позволяет применять их для повышения уровня безопасности и скорости работы сети.

Рисунок 2. Точки доступа Unified Pro Zyxel WAX650S и Unified Pro Zyxel WAX510D.

Ниже мы рассмотрим самые важные нововведения, которые появились в стандарте 802.11ax (WiFi 6).

WPA3-Enterprise 192-bit mode

Улучшения в криптографии в первую очередь затронули именно WPA3-Enterprise — это действительно более стойкий и переработанный стандарт.

Для повышения уровня безопасности, WPA3-Enterprise использует:

• 256-битный протокол Galois/Counter Mode — для шифрования,
• 384-битный Hashed Message Authentication Mode — для создания и подтверждения ключей;
• алгоритмы Elliptic Curve Diffie-Hellman exchange, Elliptic Curve Digital Signature Algorithm — для аутентификации ключей.

В WPA3-Enterprise применяются следующие комбинации шифров, используемых для согласования настроек безопасности во время рукопожатия SSL / TLS:

WPA3-Personal на смену WPA2-PSK

В качестве замены Pre-Shared Key, о проблемах которого уже сказано выше, в WPA3 используется метод аутентификации SAE, (стандарт IEEE 802.11-2016)

При подключении и идентификации используется метод dragonfly handshake, с применением криптографической защиты для предотвращения кражи пароля.

SAE предоставляет защиту от атаки с переустановкой ключа (Key Reinstallation Attacks, KRACK ), а также от наиболее распространённых offline атак по словарю, когда компьютер перебирает множество паролей, чтобы подобрать подходящий для расшифровки информации, полученной во время PSK-соединений.

В SAE также добавлена дополнительная функция forward secrecy, повышающая уровень безопасности. Предположим, злоумышленник получил возможность сохранить зашифрованные данные, которые маршрутизатор транслирует в Интернет или локальную сеть, чтобы после подбора пароля расшифровать их. При переходе на SAE шифрующий пароль меняется при каждом новом соединении, поэтому злоумышленник получит только пароль от данных, переданных после вторжения.

Enhanced Open — защита открытых сетей

Это отдельный протокол, разработанный для защиты соединений в открытой сети. Под открытыми сетями на данный момент понимаются сети, когда не требуется предварительная аутентификация, например по ключу (паролю), который в дальнейшем используются как ключ для шифрования.

В Enhanced Open применяется свой метод защиты от перехвата трафика — Opportunistic Wireless Encryption, OWE, описанный в стандарте Internet Engineering Task Force RFC 8110, чтобы защищаться от пассивного подслушивания. Также обеспечивается защита от метода unsophisticated packet injection, когда злоумышленник препятствует работе сети через передачу специальных пакетов данных.

Рекомендуемая сфера применения Enhanced Open — защита гостевых и публичных сетей от пассивного прослушивания.

Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?

Маршрутизатор

В самом названии маршрутизатор заключена расшифровка его предназначения.

Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.

Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.

В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.

В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.

Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.

С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.

Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.

Межсетевой экран

Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.

И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000

Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000

Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.

Механизмы защиты межсетевых экранов

Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?

Firewall

IP Reputation

Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.

SSL Inspection

Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.

С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.

Intrusion Detection/Prevention Service

Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.

А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.

Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.

Antimalware

Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.

Sandbox

Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.

Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.

Если файл неизвестен, его копия перенаправляется в Sandbox.

Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.

E-mail security

Данная служба включает в себя антиспам и проверку на фишинговые вложения.

В качестве инструментов в настройках "Anti-Spam" доступно:

Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.

Content Filtering

Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.

Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.

Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.

Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.

Таблица 1. Security Service Content Filtering 2.0 — Схема применения.

Application Patrol

Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.

В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.

Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.

Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.

В итоге

Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.

Читайте также:

  
• Существуют ли противовирусные препараты с доказанной эффективностью
  
• Какой вирус папилломы человека вызывает рак шейки матки
  
• Особенности эпидемиологии и профилактики гриппа в современных условиях
  
• Достоверность анализа на вич и гепатит
  
• Вирус и кровоточивость шейки матки