Как сделать сеть безопасной

Добавил пользователь Дмитрий К.
Обновлено: 04.10.2024

Предлагаем вашему вниманию список из 10 рекомендаций для малого и среднего бизнеса, разработанных специалистами научно-исследовательского центра Института программной инженерии Карнеги-Меллон (Software Engineering Institute, SEI), которые помогут вам на базовом уровне усилить защиту своей сети WiFi, заставив хакеров ретироваться и искать в другом месте более удобные цели для своих атак.

Совет № 1. Используйте безопасные WiFi-маршрутизаторы бизнес-класса

Безопасность беспроводной сети начинается с выбора беспроводного маршрутизатора, который способен обеспечить строгое следование всем требованиям по безопасности и необходимой вам функциональности. Роутеры для дома и бизнеса отличаются, поэтому убедитесь, что выбранная модель полностью отвечает всем вашим конкретным бизнес-требованиям. WiFi-маршрутизатор бизнес-класса предоставляет расширенные возможности конфигурации и пропускной способности, а также обеспечивает поддержку VLAN (Virtual Local Area Network, логическая локальная компьютерная сеть), нескольких SSID (Service Set Identifier, уникальное наименование беспроводной сети), встроенного VPN и многое другое.

Совет № 2. Ограничьте доступ к маршрутизаторам

Это кажется очевидным, но у многих компаний их WiFi-роутеры установлены там, где физический доступ к ним имеют все сотрудники компании, а в ряде случаев — и гости. Опасность подобных ошибок проектной команды заключается в том, что простое нажатие кнопки сброса настроек (RESET) вернет маршрутизатор к заводским настройкам и, тем самым, позволит обойти любые меры безопасности, которые вы ранее на нем установили. Поэтому для безопасности беспроводных сетей позаботьтесь о том, чтобы физический доступ к маршрутизатору имел только персонал, уполномоченный для работы с ним.

Совет № 3. Следите за своевременными обновлениями прошивок и программного обеспечения

Убедитесь, что у вас всегда установлено самое последнее обновление прошивки ваших беспроводных маршрутизаторов. Также вам необходимо проконтролировать обновление программного обеспечения безопасности любого из устройств, имеющих доступ к вашей корпоративной сети WiFi. В зависимости от систем, которые у вас развернуты, вы можете автоматизировать этот очень важный для безопасности беспроводной сети процесс. Автоматизация обновлений — это, как правило, лучший вариант для такого рода задач, так как ваша защита перестанет зависеть от человеческого фактора. Таким образом, вы своевременно обеспечите защиту WiFi сети от любых новых уязвимостей, которые уже обнаружены или могут появиться в используемых вами аппаратных или программных решениях.

Совет № 4. Используйте WPA2 или WPA2 enterprise

Корпоративная версия WPA2 предоставит вам больше контроля, так как вы можете задавать индивидуальные имена пользователей и пароли для всех ваших сотрудников, использующих ваш WiFi. Это потребует от вас настройку вашего собственного сервера. Но даже если у вас не хватает опыта или ресурсов для этого, подобные услуги могут быть отданы на аутсорсинг. Таким образом, ваша беспроводная сеть WiFi будет защищена с помощью WPA2 enterprise, а всеми техническими аспектами займется аутсорсинг-провайдер.

Совет №5. Отключите возможность администрирования через беспроводное соединение на ваших маршрутизаторах

Совет № 6. Настройте private доступ для сотрудников и public доступ для гостей

Таким образом вы разделите вашу сеть на две отдельные точки доступа. Хорошо защищенная и настроенная корпоративная точка доступа будет доступна только вашим сотрудникам для выполнения их рабочих задач, в то время как ваши клиенты и гости для получения беспроводного доступа в Интернет смогут воспользоваться публичной точкой доступа. Это устранит возможность случайного или намеренного доступа гостей к вашей системе, в том числе и к конфиденциальной информации, а также обезопасит ваш корпоративный трафик от прослушивания.

Совет № 7. Регулярно осуществляйте мониторинг всех точек доступа WiFi в зоне действия вашей беспроводной сети

Чтобы защитить беспроводную сеть wi-fi очень важно вовремя выявлять и пресекать все попытки осуществить несанкционированные беспроводные соединения. Регулярный мониторинг вашей беспроводной сети позволит вам своевременно выявлять мошеннические точки доступа, расположившиеся на вашей территории или в непосредственной близости от нее. Выполнение этих проверок также позволит вам узнать, не пытается ли кто-либо их ваших сотрудников осуществить подключение несанкционированной точки доступа в вашей контролируемой зоне. С задачами осуществления такого контроля за вашей беспроводной сетью, в том числе почти мгновенного обнаружения поддельных точек доступа или несанкционированных точек доступа с высокой точностью определения их физического местоположения отлично справится специализированное ПО и оборудование.

Совет № 8. Используйте подключение по VPN (Virtual Private Network, виртуальная частная сеть)

Наличие VPN-подключения даст вам несколько дополнительных функций безопасности беспроводной сети. Одной из наиболее важных является возможность защитить WiFi сеть за пределами контролируемой зоны вашего бизнеса. Будь то попытка доступа к вашей сети WiFi из зоны, физически находящейся за пределами контролируемой территории, либо осуществление любого другого соединения, которому вы не можете полностью доверять, — используйте VPN для маскирования своего реального интернет-трафика, чтобы он не мог быть обнаружен и перехвачен хакерами, когда вы или ваши сотрудники находитесь вне зоны вашего офиса.

Совет № 9. Используйте оригинальное имя сети и сложный пароль

Используя часто встречаемый или созвучный SSID вы упрощаете хакерам задачу взлома вашей сети. Сделаете его необычным. Кроме того, при выборе пароля для беспроводной сети многие компании поступают крайне опрометчиво. Так, согласно опросу, проведенному компанией Preempt Security, специализирующейся на информационной безопасности, более 35% компаний сегмента малого бизнеса имеют слабые, легко взламываемые пароли по сравнению с менее чем пятью процентами для более крупных предприятий. Таким образом, чтобы защитить вашу корпоративную сеть WiFi от взлома, обязательно выберите надежный сетевой пароль и регулярно меняйте его.

Совет № 10. Используйте политику безопасности, которая действенно работает

Реализация всех вышеприведенных рекомендаций, безусловно, увеличит безопасность вашей беспроводной сети, но без строгой и действенной политики безопасности все ваши усилия по защите сети WiFi окажутся бесполезными. Каждый ваш сотрудник должен четко понимать и нести ответственность за то, как он распоряжается корпоративной сети WiFi, а также использует системные ресурсы и чувствительные для бизнеса компании данные вне офиса. Разглашение информации о пароле доступа, добавление несанкционированных устройств, посещение сомнительных сайтов, открытие электронных писем от неизвестных источников и другие рискованные действия любого из ваших сотрудников могут полностью нивелировать все ваши усилия по обеспечению информационной безопасности. Периодически (хотя бы один раз в квартал) напоминайте вашей рабочей команде о корпоративной политике безопасности, объясняйте им последствия ее нарушения, а также постоянно прикладывайте усилия к приобщению всех сотрудников компании к сотрудничеству в этом вопросе.

Ваша сеть Wi-Fi, вероятно, имеет множество устройств, расположенных за маршрутизатором , таких как смартфоны , настольные компьютеры, ноутбуки, планшеты … вы называете это. Чтобы ваш хакер не смог проникнуть в вашу сеть, вы должны следовать некоторым простым правилам.

В стандартной конфигурации средняя сеть небезопасна, поскольку маршрутизаторы поставляются с паролем по умолчанию, который любой может легко узнать с помощью простого веб-поиска. Тем не менее, даже если ваш близкий сосед настроил вашу сеть, есть несколько вещей, которые он, возможно, пропустил, потенциально открывая вашу сеть для злоумышленников.

Сделать безопасную сеть Wi-Fi очень просто. Следуйте этим советам и примите некоторые, если не все, для своей собственной сети.

Изменить настройки по умолчанию

Большая часть того, о чем мы говорим ниже, будет посвящена этой проблеме, потому что настроек по умолчанию на маршрутизаторе просто недостаточно для построения защищенной сети.

Что действительно важно понять, так это то, что маршрутизаторы поставляются с установленным паролем по умолчанию, и в зависимости от того, использовался ли маршрутизатор, у вас могут даже быть включены старые протоколы безопасности и открыты случайные сетевые порты .

Начните с изменения пароля по умолчанию на что-то действительно безопасное. Существует множество примеров надежных паролей, которые вы можете использовать для создания собственного пароля маршрутизатора.

Если вашему маршрутизатору требуется имя пользователя, измените его тоже. Обычно это администратор или администратор по умолчанию, поэтому вы хотите изменить его на что-то действительно уникальное. Если это поможет, считайте имя пользователя другим паролем; хакеру понадобятся оба, чтобы подключиться к вашему маршрутизатору, поэтому изменение их обоих сделает ваш маршрутизатор более безопасным.

Пока вы находитесь в этих настройках, вы также можете изменить адрес шлюза по умолчанию . Некоторые общие стандартные частные IP-адреса, используемые для маршрутизаторов, включают 192.168.1.1 , 192.168.0.1 и 10.0.0.1 . Сделайте свое совершенно другим, чтобы у злоумышленника не было шансов войти в вашу сеть.

Если ваш маршрутизатор не новый, но вместо этого использовался кем-то еще до вас, пока не вносите никаких изменений. Начните с чистого листа, сбросив весь маршрутизатор до заводских настроек по умолчанию . Это удалит все настройки, сделанные предыдущим владельцем, включая любые неудачные варианты безопасности, которые они могли сделать.

Сделайте уникальный пароль Wi-Fi

Верьте или нет, большинство маршрутизаторов позволяют вам создать сеть Wi-Fi без пароля. Это означает, что буквально любой, кто находится достаточно близко к вашему дому, может украсть ваш Wi-Fi и получить доступ к файлам на вашем компьютере.

Изменить пароль Wi-Fi довольно легко. Чтобы сделать это, вам просто нужно получить доступ к настройкам администратора на вашем маршрутизаторе , что вы уже знаете, как сделать, если вы выполнили подсказку к паролю маршрутизатора выше.

Ваш пароль Wi-Fi, как и пароль маршрутизатора, должно быть очень трудно угадать. Определенно заманчиво сделать его очень простым, чтобы, когда вы делитесь им с друзьями, вы не листали бумаги, чтобы найти пароль из 40 символов, который вы им задали, но на самом деле … это важно .

Если у кого-то есть доступ к вашему паролю Wi-Fi, у него будет такой же доступ, что и у вас, что означает, что он также может делиться и просматривать файлы в сети. Для злоумышленника это может означать распространение вирусов и кражу важных документов из общих папок.

Постарайтесь сделать пароль Wi-Fi действительно длинным. В частности, 25 символов или более. Как бы вам ни было больно вводить пароль на 30, 40 или 50 символов на каждом беспроводном устройстве, вам придется делать это только один раз для каждого устройства, чтобы пароль оставался на неопределенный срок.

Причина этого проста: программное обеспечение, которое хакеры используют для атаки на беспроводные сети, имеет ограничения, а именно ограничения по длине и сложности. Другими словами, если вы можете сделать свой пароль очень длинным и сложным, практически нет шансов, что кто-то сможет использовать инструменты автоматического взлома (или методы угадывания), чтобы выяснить ваш пароль Wi-Fi.

Используйте правильное шифрование Wi-Fi

Зашифрованные символы на синем фоне

Шифрование может сбивать с толку, но здесь необходимо включить самое надежное шифрование, поддерживаемое вашим маршрутизатором. Для большинства людей это означает WPA2 . Если ваш маршрутизатор поддерживает только WEP , пришло время купить новый маршрутизатор .

Вы можете включить WPA2 или любую другую форму шифрования, зайдя в настройки администратора маршрутизатора, так же, как вы делали это при смене пароля выше.

Прекратить показывать SSID

SSID это имя сети Wi-Fi. Когда он показывает, к нему легко подключиться, потому что его может найти любой, у кого есть беспроводное устройство — будь то вы, ваши друзья, семья и т. Д.

Когда вы прекратите широковещательную рассылку SSID , вашим друзьям будет сложнее подключиться, но хакерам будет так же трудно его найти, потому что они не могут просто зайти и заметить, что ваша сеть работает.

Если вы не заинтересованы в отключении вещания SSID от маршрутизатора, по крайней мере измените SSID по умолчанию . Хакеры могут использовать легко доступные списки наиболее распространенных идентификаторов SSID и генерировать радужные таблицы для взлома паролей, чтобы упростить взлом. Измените SSID, и вы сразу же помешаете попыткам взлома.

Блокировка устройств по их оборудованию

Если злоумышленник все же получит доступ к вашему безопасному паролю Wi-Fi, надежному шифрованию и скрытому SSID, вы, вероятно, поставите их здесь в тупик. Чтобы заблокировать устройства по их оборудованию, настройте фильтрацию MAC-адресов .

Когда вы включаете фильтрацию MAC-адресов , вы создаете список разрешенных устройств, и все, что не входит в этот список, лишено доступа к вашей сети. Вы можете думать об этом как о другом пароле, который аутентифицирует пользователя, только если его сетевой адаптер соответствует списку устройств, которые вы явно указали, могут получить на вашем Wi-Fi.

Это пуленепробиваемый? Конечно, нет; на самом деле ничего нет. Тем не менее, это очень эффективно для предотвращения доступа большинства людей в вашу сеть. Чтобы обойти это, им нужно знать, какие MAC-адреса вы разрешаете, а затем подделать их аппаратный адрес, чтобы выдать себя за одобренное устройство.

Ограничить количество IP-адресов, которые можно использовать

Достаточно сложно подключиться к вашей сети, сохранив все вышеперечисленные методы, но для дополнительной безопасности рассмотрите возможность ограничения количества устройств, которые могут получать IP-адреса в вашей сети. Нет IP = нет доступа к сети.

Лучший способ сделать это — ограничить область действия пула DHCP , то есть количество адресов, которые маршрутизатор может выдать устройствам, запрашивающим один. Если у вас есть только три устройства, которым когда-либо требуется доступ в интернет в вашей сети, установите это ограничение на три.

В тот момент, когда кто-либо еще пытается подключиться, у DHCP не останется места для предложения адреса.

Например, если у вас когда-либо есть игровая приставка, ноутбук и телефон, сделайте это три.

Если вы включите этот совет по безопасности Wi-Fi, убедитесь, что вы точно понимаете, что он делает. Например, если вы установили ограничение в четыре, а два компьютера, планшет и телефон всегда подключены, то в тот момент, когда друг пытается использовать Wi-Fi, он автоматически отключается.

Используйте VPN через роутер

VPN — это виртуальные частные сети, по существу, зашифрованные туннели, через которые может проходить весь трафик маршрутизатора, прежде чем попасть в Интернет. Хакерам Wi-Fi будет довольно сложно понять, что вы делаете, если они не могут прочитать данные.

Существует множество провайдеров VPN-услуг, из которых вы можете выбирать, но не все из них позволяют вам использовать VPN на уровне маршрутизатора — большинство из них работает с устройства конечного пользователя, например с вашего компьютера или телефона.

Цель здесь — найти либо службу VPN, которая позволяет вводить информацию о сервере в настройках маршрутизатора, либо устройство, которое поддерживает VPN из коробки . Вот несколько примеров продуктов, которые могут сделать это: Частный доступ в Интернет (PIA) , VyprVPN , ExpressVPN и NordVPN .

как настроить безопасность сети WiFi роутера

1. Обязательно включайте шифрование сети.
Никогда не оставляйте свою сеть открытой. Если ваш домашний WiFi не шифруется — это не правильно. Любой желающий сможет к Вам подключиться и использовать Ваш доступ в Интернет в своих целях.

2. По возможности используйте только тип шифрования WPA2-PSK

как настроить безопасность сети WiFi роутера

Если в настройках роутера используется шифрование WEP, обязательно изменить его на WPA2, потому как WEP (Wired Equivalent Privacy) устарел и имеет серьезные уязвимости. А WPA2 является самым сильным в использовании прямо сейчас. WPA стоит использовать только в том случае, если у Вас есть устройства не умеющие работать с WPA2.

3. Отключите WPS.

как настроить безопасность сети WiFi роутера tp-link

Если Вы не пользуетесь функцией WPS — обязательно её отключите. В некоторых моделях роутеров она является серьёзной уязвимостью ввиду типовой конфигурации. Как показывает практика в 90% случаев WPS не используется вообще.

4. Измените имя сети SSID, используемое по умолчанию.

как настроить безопасность сети WiFi роутера tp-link

Очень часто в качестве SSID (Service Set Identifier) используется модель беспроводного маршрутизатора, что облегчает злоумышленнику взлом Вай-Фай. Поэтому обязательно надо его изменить на любой другой. В качестве имени может быть любое слово на латинице и цифры. Кириллицу не используйте.

5. Измените пароль маршрутизатора по умолчанию.

как настроить безопасность сети WiFi роутера tp-link

В качестве примера можно привести GPON ONT терминалы ZTE. Из-за того, что у них у всех по умолчанию использовался один и тот же пароль, который при настройке устройства никто не менял. Из-за этого много домашних сетей в Москве и Питере были взломаны. Соответственно злоумышленник мог получить доступ к настройка роутера, Интернет-каналу и домашней сети.

6. Включить брандмауэр (firewall) маршрутизатора.

как настроить безопасность сети WiFi роутера tp-link

Практически все маршрутизаторы оснащены встроенным брандмауэром (он же фаервол), который по умолчанию может быть отключен. Убедитесь, что он включен. Для еще большей безопасности надо убедиться, что каждый компьютер в вашей сети также использует брандмауэр и антивирусное программное обеспечение.

7. Включить фильтрацию МАС-адресов клиентов Вай-Фай.

как настроить безопасность сети WiFi роутера tp-link

Каждый компьютер, ноутбук или мобильное устройство имеет уникальный идентификатор в сети, называемый MAC-адрес. Это позволяет WiFi роутеру отслеживать все устройства, подключенных к нему. Многие WiFi маршрутизаторы позволяют администраторам физически ввести MAC-адреса устройств, которым можно подключиться к сети.

как настроить безопасность сети WiFi роутера tp-link

Таким образом к Вашей домашней сети смогут подключиться только те устройства, которые есть в таблице. Другие вообще не смогут, даже если подберут пароль.

8. Отключение удаленного администрирования.
Большинство маршрутизаторов позволяют администраторам удаленно подключаться из сети Интернет к веб-интерфейсу или командной строке устройства. Если вам не нужно это, отключить эту функцию. Из локальной сети настройки устройства всё равно будут доступны.

Итак, потратив несколько минут, чтобы убедиться, что наша домашняя сеть WiFi настроена на оптимальном уровне безопасности, Вы можете избежать проблем и предотвратить их в дальнейшем.

Интернет подобен улице. В нем, как и на улице, полно опасностей, но совсем не пользоваться им столь же неразумно, как никогда не выходить на прогулки. Для того, чтобы чувствовать себя в глобальной сети в безопасности, необходимо соблюдать ряд несложных правил.

Как сделать сеть безопасной

  • Как сделать сеть безопасной
  • Как использовать роутер
  • Как защитить компьютер в локальной сети

Чем менее распространенными браузером и операционной системой вы пользуетесь, тем меньше вероятность заразить компьютер вирусом или трояном. Учтите однако, что Internet Explorer давно уже не держит монополии, а значит, так называемые эксплойты (фрагменты кода, использующие уязвимости) сегодня создаются и для Firefox, и для Opera, и для Chrome. То же касается и Linux, под который уже начали появляться первые вирусы. И все же пользоваться малораспространенными браузерами и ОС заметно безопаснее.

Не пренебрегайте использованием антивируса даже в том случае, если ваша ОС малораспространена или хорошо защищена (например, OpenBSD). И уж совсем ошибочным является мнение некоторых пользователей о необязательности использования антивируса в Windows 7. То же касается и брандмауэра.

Если вы пользуетесь роутером, обязательно смените в нем пароль по умолчанию на другой, более сложный. Сделайте веб-интерфейс и Telnet недоступными для внешней сети. Помните, что вирусы бывают и для роутеров.

Примите к сведению, что даже хорошо защищенные ОС и браузер, а также качественные антивирус и брандмауэр не обеспечивают защиты от опасных действий самого пользователя. Обязательно установите сложные пароли для всех ресурсов, которыми вы пользуетесь (форумы, социальные сети, и т.п.), а особенно - для почтового ящика, поскольку он может быть использован для восстановления паролей от остальных ресурсов.

Прежде, чем заходить на сайт, проверьте, не сделали ли вы опечатку в URL. Ошибка всего в одной букве может привести вас на поддельный сайт, предназначенный специально для кражи паролей. Будьте особенно внимательны, переходя на сайты, требующие ввода логина и пароля, по внешним ссылкам. Злоумышленники в них нередко заменяют латинские буквы на аналогичные по начертанию русские или наоборот. Некоторые современные браузеры обнаруживают такие ошибки автоматически, но полностью полагаться на автоматику нельзя.

Возьмите за правило: при первом же подозрении, что вы ввели пароль в поддельный сайт, меняйте его незамедлительно на настоящем, пока это за вас не сделали злоумышленники. Никогда не используйте для смены пароля компьютер, зараженный вирусами. Если другой машины под рукой нет, не ждите, пока антивирус вылечит ее - за это время хакеры могут успеть сменить пароль на свой. Немедленно возьмите в руки мобильный телефон и смените пароль с него.

В любом случае, возьмите за правило проверять на вирусы любые скачанные из интернета файлы перед их запуском. Используйте для этого службу VirusTotal, которая проверяет файлы сразу большим количеством антивирусов. Помните, что она не заменяет локальный антивирус.

Никогда не оставляйте в общедоступных местах интернета свои домашний адрес и телефон, а также информацию о своем местонахождении с навигационного приемника.

Читайте также: