Правила безопасности сетей – десять несложных рекомендаций

firewall

Очень распространена точка зрения, согласно которой только большие компании и фирмы, имеющие значительный оборот средств, должны озадачиваться вопросом о том, насколько надежны их правила безопасности сетей. Когда рядовой админ, работающий в такой среде, пытается позакрывать возможные уязвимости, его действия, зачастую, воспринимаются как новый приступ пароноидальной шизофрении. «Соболезнующие» сотрудники (да что там говорить – и руководство) с удивлением подымают брови и (как минимум, мысленно) делают многозначительный жест у виска: не парься, дескать, все будет хорошо.

Напрасно.

Сканирование сетей, работающее в автоматическом режиме, и бурная деятельность ботнетов не имеют привязки к размеру вашей компании. Они просто ищут брешь, через которую злоумышленник может выполнить свои деструктивные действия. И находят. Радует то, что есть целый ряд методов, с помощью которых может быть выстроена высокая безопасность компьютерных сетей без дополнительных затрат средств. Естественно, если учесть все нюансы. Остановимся подробней на каждом из шагов, которые необходимо выполнить для того, чтобы защитить свою сеть и действительно спасть спокойно.

Система безопасности сети – забота о будущем любой компании

Для того чтобы сеть предприятия была надежно защищена, должны соблюдаться следующие условия:

  1. Использование файервола.

    Любые действия злоумышленника, независимо от способов их технической реализации, начинаются со сканирования портов на компьютерах сети жертвы. Порты, как известно, представляют собой цифровую точку (место, адрес), через которую система ведет двусторонний обмен данными с другими машинами внутренней или глобальной сети.Роль файервола (брандмауэра) в том, чтобы держать закрытыми ненужные порты. Меньше входов – меньше возможностей проникновения. При этом можно сосредоточить свое внимание на меньшем количестве потенциально опасных мест вашей системы, организовав для них достойную защиту.

    Как правило, большинство маршрутизаторов имеют встроенный брандмауэр для фильтрации сетевого траффика. Чтобы убедиться, что вы защищены на уровне своего маршрутизатора, необходимо зайти в его настройки и посмотреть, включены ли настройки безопасности. Если вам неизвестно, как зайти на свой маршрутизатор, посмотрите на свойства сетевого подключения: если определен шлюз по умолчанию, скорее всего это и будет IP-адрес вашего маршрутизатора.

    dlink_router
    Маршрутизатор (аппаратный файервол)

    На сегодняшний день существует масса десктопных вариантов программных файерволов, позволяющих достаточно гибко настроить фильтрацию сетевого траффика. Но ни один из них не может стать полноценной заменой аппаратному брандмауэру на уровне маршрутизатора по одной простой причине: защита, установленная на определенной машине, фильтрует поток информации только через эту машину, а нужно обеспечение безопасности сетей – не одной станции. Аппаратный же файервол на маршрутизаторе стоит на «первой линии» — точке входа в вашу сеть, надежно защищая ее от атак извне.

    Итак, правило первое гласит: «Всегда, всегда используйте файервол». Таким образом, вероятность проникновения в точке входа в сеть сводится к нулю. Идем дальше.

  2. Установите свой пароль для защиты настроек маршрутизатора.

    Да, на первый взгляд банально и просто, но именно это становится критической уязвимостью в безопасности – когда установленный и правильно настроенный маршрутизатор остается с паролем по умолчанию.Для хакера, пытающегося проникнуть в вашу сеть, определить модель используемого оборудования, не составит никакого труда. Дальше – дело техники. Так что, менять пароль или нет – вопрос чисто риторический. Информационная безопасность в компьютерных сетях зависит от множества незначительных (на первый взгляд) факторов. Один промах – и все усилия по построению надежной системы защиты могут попросту оказаться напрасными.

  3. Выполните обновление прошивки маршрутизатора.

    Распространенной ошибкой, от которой страдает безопасность информации в сетях, является использование оборудования с устаревшей прошивкой. Особенно это может быть актуальным для небольших компаний, прекрасно справляющихся со своими вычислительными запросами малыми силами и с помощью уже давно не нового «железа». Как обновиться? В большинстве устройств есть специальный раздел меню, через который можно проверить наличие обновления и выполнить его.proshivka

    Как и при многих других манипуляциях, перед обновлением  необходимо создать резервную копию настроек устройства, чтобы в случае непредвиденных трудностей, можно было сделать откат к старой версии прошивки.

  4. Блокируйте возможность пинговать вашу сеть.

    Просто и дешево, но эффективно! Посылая ICMP пакеты (пингуя адрес), злоумышленник определяет по наличию отклика, что «там что-то есть» и начинает это изучать на предмет возможности взлома. Как бы ни была хорошо защищена система – зачем давать дополнительную возможность кому-то увидеть ее и попытаться проникнуть вовнутрь? Если вы не тестируете безопасность данных в сети с помощью нанятого хакера, запретите в настройках маршрутизатора пинговать вашу сеть.

  5. Сканирование портов.

    Тестирование собственной сети с помощью методов, которые будет использовать потенциальный злоумышленник. Суть в том, чтобы самостоятельно произвести сканирование сети и определить, какие из портов открыты. Прекрасным способом произвести такую операцию является утилита с открытым исходным кодом Nmap. Этот небольшой инструмент не только поможет просканировать сеть и определить существующие уязвимости, но также сделать многое другое. Он, наверняка, окажется кстати, не только искушенным админам, но и в быту — простым пользователям, которые смогут в интернете самостоятельно Nmap скачать. Безопасности сети такая проверка будет способствовать самым непосредственным образом – вы увидите полную картину происходящего и сможете предпринять необходимые изменения. Как пользоваться утилитой, много написано в русскоязычной справке.

  6. Блокировка IP-адресов.

    Коротко о сути данного метода. Большинство маршрутизаторов, используемых частными лицами и небольшими компаниями, настроены в качестве DHCP-сервера. Это означает, что каждый из компьютеров вашей сети автоматически получает IP-адрес, уникальный в пределах вашей сети. Легко и просто, чтобы организовать свою сеть. Но это также облегчает путь злоумышленнику, сумевшему попасть на маршрутизатор. В результате он получает доступ ко всей сети. Как обеспечить безопасность локальных сетей в этом случае? Если количество пользователей сети ограниченно, организуйте блокировку по IP-адресу. Как это сделать? На странице настроек брандмауэра маршрутизатора выполните назначение IP-адресов пользователям сети в связке с MAC-адресами их сетевых интерфейсов. Преимуществом данного метода является то, что теперь, анализируя логи маршрутизатора, можно четко понимать какая машина работает под тем или иным IP-адресом. И кроме адресов, назначенным локальным пользователям (IP привязаны к их физическим MAC-адресам), никаких других адресов выдаваться DHCP сервером не будет.

  7. Использование VLAN – виртуальных частных сетей.

    Коротко о сути метода и его влиянии на безопасность и защиту сети. Не все структурные единицы организации требуют подключения к одним и тем же сетевым ресурсам. Если физическую сеть разделить на несколько логических сегментов, это позволит повысить общий уровень безопасности. Ведь в этом случае различные группы пользователей будут иметь доступ только к определенному сегменту сети, поэтому даже в случае взлома, злоумышленник получит доступ только к той части LAN, доступ к которой имеет точка проникновения. Остальная часть будет в безопасности.

Еще три шага правил безопасности компьютерной сети будут описаны в скором времени.

Другие записи этой рубрики:

2 thoughts on “Правила безопасности сетей – десять несложных рекомендаций

  1. Нам помогли обезопасить информацию с помощью httр://www.doсsvision.com/elektronnіy-arhiv-dоkumentov/

    • Ну и как впечатления? Как давно пользуетесь? И что с обучением пользователей — проблем не возникало?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.