Сегодня практически в каждой квартире есть домашняя сеть, к которой подключены настольные компьютеры, ноутбуки, устройства хранения данных (NAS), медиаплееры, смарт-телевизоры, а также смартфоны, планшеты и другие носимые устройства.
Используются проводные (Ethernet) или беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в сеть вышла бытовая техника – холодильники, кофеварки, кондиционеры и даже электромонтажное оборудование.
Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, удаленно регулировать микроклимат в помещениях, включать и выключать различные устройства – это значительно облегчает жизнь, но может создать серьезные проблемы владельцу продвинутых решений.
К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растет как грибы после дождя.
Нередки случаи, когда после выхода на рынок устройство перестает поддерживаться — у нашего телевизора, например, стоит прошивка 2016 года на базе Android 4, и производитель не собирается ее обновлять.
Проблем добавляют и гости: отказать им в доступе к Wi-Fi неудобно, но и пускать кого попало в свою уютную сеть тоже не хочется.
Кто знает, какие вирусы могут жить на чужих мобильных телефонах? Все это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов.
Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми затратами.
Изоляция сетей Wi-Fi В корпоративных сетях проблема решается легко — есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), различные маршрутизаторы, межсетевые экраны и точки беспроводного доступа — необходимое количество изолированных сегментов можно построить за пару часов.
Например, с помощью устройства Traffic Inspector Next Generation (TING) проблема решается всего за несколько кликов.
Достаточно подключить свитч гостевого сегмента сети к отдельному порту Ethernet и создавать правила брандмауэра.
Для дома этот вариант не подходит из-за дороговизны оборудования – чаще всего нашей сетью управляет одно устройство, совмещающее в себе функции роутера, свитча, точки беспроводного доступа и черт знает чего еще.
К счастью, современные бытовые роутеры (хотя их правильнее было бы называть интернет-центрами) тоже стали очень умными и почти все из них, кроме самых бюджетных, имеют возможность создания изолированной гостевой Wi-Fi сети.
Надежность этой самой изоляции – вопрос отдельной статьи; сегодня мы не будем рассматривать прошивки бытовых устройств разных производителей.
В качестве примера возьмем ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но к нам в руки попало устройство, выпущенное под брендом ZyXEL. 
Настройка через веб-интерфейс не вызовет затруднений даже у новичков – несколько кликов, и мы имеем отдельную беспроводную сеть со своим SSID, защитой WPA2 и паролем для доступа.
Вы можете разрешить в него гостей, а также включать телевизоры и плееры с прошивкой, которая давно не обновлялась, или других клиентов, которым вы не особо доверяете.
В большинстве устройств других производителей эта функция, повторимся, тоже присутствует и активируется таким же образом.
Например, вот задача решается в прошивке роутеров D-Link с помощью мастера настройки.
Скриншот с сайта производителя
Добавить гостевую сеть можно, когда устройство уже настроено и работает. 
Скриншот с сайта производителя 
Скриншот с сайта производителя
Как видите, все довольно просто, дальше мы перейдем к обсуждению более тонких вопросов.
Изолируем сети Ethernet Помимо клиентов, подключающихся к беспроводной сети, нам могут встретиться устройства с проводным интерфейсом.
Эксперты скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN — виртуальные локальные сети.
Некоторые домашние роутеры поддерживают данный функционал, но здесь задача усложняется.
Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного соединения с беспроводной гостевой сетью на одном роутере.
Не каждое бытовое устройство с этим справится: поверхностный анализ показывает, что помимо интернет-центров Keenetic модели из линейки MikroTik также могут добавлять порты Ethernet в единый гостевой сегмент с сетью Wi-Fi, но процесс их настройки сложен.
уже не так очевидно.
Если говорить о сопоставимых по цене бытовых роутерах, то только Keenetic сможет решить проблему в пару кликов в веб-интерфейсе.
Как видите, испытуемый легко справился с задачей, и здесь стоит обратить внимание еще на одну интересную особенность — вы также можете изолировать беспроводных клиентов гостевой сети друг от друга.
Это очень полезно: зараженный вредоносным ПО смартфон вашего друга будет выходить в Интернет, но не сможет атаковать другие устройства даже в гостевой сети.
Если у вашего роутера есть подобная функция, вам обязательно следует ее включить, хотя это ограничит возможности взаимодействия с клиентом – например, сопрягать телевизор с медиаплеером по Wi-Fi больше не получится, придется используйте проводное соединение.
На этом этапе наша домашняя сеть выглядит более безопасной.
Каков результат?
Количество угроз безопасности растет с каждым годом, а производители умных устройств не всегда уделяют достаточно внимания своевременному выпуску обновлений.
В такой ситуации выход у нас только один — разграничить клиентов домашней сети и создать для них изолированные сегменты.
Для этого не нужно покупать оборудование на десятки тысяч рублей; сравнительно недорогой бытовой интернет-центр справится с этой задачей.
Здесь хотелось бы предостеречь читателей от приобретения устройств бюджетных брендов.
Практически у всех производителей сейчас более-менее одинаковое железо, но качество встроенного ПО сильно разнится.
А также продолжительность цикла поддержки выпущенных моделей.
Не каждый бытовой роутер справится даже с достаточно простой задачей объединения проводной и беспроводной сети в изолированном сегменте, а у вас могут возникнуть и более сложные задачи.
Иногда нужно настроить дополнительные сегменты или DNS-фильтрацию для доступа только к защищенным хостам, в больших помещениях приходится подключать Wi-Fi-клиентов к гостевой сети через внешние точки доступа и т. д. и т. п.
Помимо вопросов безопасности, есть и другие проблемы: в сетях общего пользования необходимо обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации».
Недорогие устройства способны решать подобные задачи, но не все – функционал их встроенного ПО, повторимся, сильно отличается.
Теги: #информационная безопасность #Беспроводные технологии #Сетевые технологии #безопасность #сетевое администрирование #информационные технологии #сетевая безопасность #беспроводные сети
-
Коды Стран Мира
19 Oct, 24 -
Слово В Защиту Биткойна
19 Oct, 24 -
Как Я Сделал Змею В Labview
19 Oct, 24 -
Эмулятор I8080 На Bash
19 Oct, 24 -
Онлайн Репетитор По Python
19 Oct, 24
