09.04.2002. Безопасность домашней сети

версия для печати

Домашние сети получают все большее распространение, поскольку позволяют за относительно небольшие деньги получить высокоскоростной доступ к Internet. Они стали настолько популярными, что их иногда используют для создания домашнего офиса или виртуального рабочего места корпорации. Однако защищенность такого решения оставляет желать лучшего.

Правила информационной безопасности в данном случае должен соблюдать как провайдер, так и его клиент. Иными словами, существуют две точки уязвимости (на стороне клиента и на стороне провайдера), причем каждый из участников этой системы вынужден отстаивать свои интересы.

Взгляд со стороны клиента

Для ведения бизнеса в электронной среде требуются высокоскоростные каналы передачи данных, и если раньше основные деньги провайдеров делались на подключении к Internet, то сейчас клиенты предъявляют довольно жесткие требования к защищенности предлагаемых услуг.

На Западе появился целый ряд аппаратных устройств, обеспечивающих защищенное подключение к домашним сетям. Как правило, они так и называются «решениями SOHO» и совмещают в себе аппаратный межсетевой экран, концентратор с несколькими портами, DHCP-сервер и функции VPN-маршрутизатора. Например, именно по такому пути пошли разработчики Cisco PIX Firewall и WatchGuard FireBox. Программные межсетевые экраны остались только на персональном уровне, причем используются они как дополнительное средство защиты.

Разработчики аппаратных межсетевых экранов класса SOHO считают, что эти устройства должны быть простыми в управлении, «прозрачными» (то есть невидимыми) для пользователя домашней сети и соответствовать по стоимости размеру прямого ущерба от возможных действий злоумышленников. Средняя величина ущерба при успешной атаке на домашнюю сеть оценивается примерно в 500 долл.

Для защиты домашней сети можно использовать и программный межсетевой экран или попросту удалить лишние протоколы и сервисы из конфигурационных настроек. Лучший из вариантов — если провайдер протестирует несколько персональных межсетевых экранов, настроит на них свою собственную систему безопасности и обеспечит их техническое сопровождение. В частности, именно так поступает провайдер 2COM, который предлагает своим клиентам набор протестированных экранов и советы по их настройке. В простейшем случае рекомендуется объявить опасными почти все сетевые адреса, кроме адресов локального компьютера и шлюза, через который устанавливается соединение с Internet. Если программный или аппаратный экран на стороне клиента обнаружил признаки вторжения, об этом требуется незамедлительно сообщить в службу технической поддержки провайдера.

Следует отметить, что межсетевой экран защищает от внешних угроз, но не спасает от ошибок самого пользователя. Поэтому, даже если провайдер или клиент установил некую систему защиты, обе стороны все равно должны соблюдать ряд достаточно простых правил, позволяющих минимизировать вероятность нападений. Во-первых, следует оставлять как можно меньше личной информации в Internet, стараться избегать оплаты кредитными карточками или по крайней мере проверять наличие цифрового сертификата у сервера. Во-вторых, не стоит загружать из Сети и запускать на своем компьютере любые программы, особенно бесплатные. Не рекомендуется также делать локальные ресурсы доступными извне, устанавливать поддержку ненужных протоколов (таких, как IPX или SMB) или использовать настройки по умолчанию (например, скрытие расширений файлов).

Особенно опасно исполнять сценарии, прикрепленные к письмам электронной почты, а лучше вообще не пользоваться Outlook, поскольку большинство вирусов написано именно для этого почтового клиента. В некоторых случаях для работы с электронной почтой безопаснее применять службы Web-mail, поскольку вирусы, как правило, через них не распространяются. Например, провайдер 2COM предлагает бесплатный Web-сервис, позволяющий считывать информацию из внешних почтовых ящиков и загружать на локальную машину только нужные сообщения.

Провайдеры обычно не предоставляют услуги защищенного доступа. Дело в том, что уязвимость клиента зачастую зависит и от его собственных действий, поэтому в случае успешной атаки достаточно сложно доказать, кто именно допустил ошибку — клиент или провайдер. Кроме того, факт нападения еще нужно зафиксировать, а сделать это можно только с помощью проверенных и сертифицированных средств. Оценить ущерб, нанесенный взломом, тоже непросто. Как правило, определяется только его минимальное значение, характеризуемое временем на восстановление штатной работы системы.

Провайдеры могут обеспечить безопасность почтовых служб, проверяя всю входящую корреспонденцию с помощью антивирусных программ, а также блокировав все протоколы, кроме основных (Web, электронной почты, новостей, ICQ, IRC и некоторых других). Операторам не всегда удается проследить, какие события происходят во внутренних сегментах домашней сети, но, поскольку они вынуждены защищаться от внешних нападений (что согласуется и с политикой защиты пользователей), клиентам нужно взаимодействовать с их службами безопасности. Следует помнить, что провайдер не гарантирует абсолютной безопасности пользователей — он лишь преследует собственную коммерческую выгоду. Часто атаки на абонентов связаны с резким всплеском объема передаваемой им информации, на чем, собственно говоря, и зарабатывает деньги оператор. Это значит, что интересы провайдера иногда могут противоречить интересам потребителя.

Взгляд со стороны провайдера

Для провайдеров услуг домашних сетей основными проблемами являются несанкционированное подключение и большой внутренний трафик. Домашние сети часто служат для проведения игр, которые не выходят за пределы локальной сети одного жилого дома, но могут привести к блокировке целых ее сегментов. В этом случае работать в Internet становится сложно, что вызывает справедливое недовольство коммерческих клиентов.

С точки зрения финансовых затрат провайдеры заинтересованы в минимизации средств, используемых для обеспечения защиты и контроля домашней сети. Вместе с тем они не всегда могут организовать должную защиту клиента, поскольку для этого требуются определенные затраты и ограничения и со стороны пользователя. К сожалению, с этим согласны далеко не все абоненты.

Обычно домашние сети устроены следующим образом: есть центральный маршрутизатор, имеющий канал доступа в Internet, а к нему подключается разветвленная сеть квартала, дома и подъезда. Естественно, маршрутизатор выполняет функции межсетевого экрана, отделяющего домашнюю сеть от остального Internet. Он реализует несколько механизмов защиты, но наиболее часто используется трансляция адресов, которая позволяет одновременно скрыть внутреннюю инфраструктуру сети и сэкономить реальные IP-адреса провайдера.

Впрочем, некоторые провайдеры выдают своим клиентам именно реальные IP-адреса (например, так происходит в сети микрорайона «Митино», которая подключена к московскому провайдеру «МТУ-Интел»). В этом случае пользовательский компьютер становится доступным из Internet напрямую, поэтому его сложнее защитить. Неудивительно, что бремя обеспечения информационной защиты полностью ложится на абонентов, а у оператора остается единственный способ контроля за их действиями — по IP- и MAC-адресам. Однако современные Ethernet-адаптеры позволяют программно изменить оба параметра на уровне операционной системы, и провайдер оказывается беззащитным перед недобросовестным клиентом.

Конечно для некоторых приложений необходимо выделение реальных IP-адресов. Выдавать же реальный статический IP-адрес клиенту достаточно опасно, поскольку, если сервер с этим адресом будет успешно атакован, через него станет доступной и остальная часть внутренней сети.

Одним из компромиссных решений проблемы безопасного использования IP-адресов в домашней сети является внедрение технологии VPN, объединенной с механизмом динамического распределения адресов. Вкратце схема такова. От клиентской машины до маршрутизатора устанавливается кодированный туннель, задействующий по протоколу PPTP. Поскольку этот протокол поддерживается ОС Windows начиная с 95-й версии, а сейчас реализован и для других операционных систем, от клиента не требуется инсталляции дополнительного ПО — нужна лишь настройка уже инсталлированных компонентов. Когда пользователь подключается к Internet, он вначале устанавливает соединение с маршрутизатором, затем авторизуется, получает IP-адрес и только после этого может приступать к работе в Internet.

Указанный тип подключения эквивалентен обычному коммутируемому соединению с той разницей, что при его инсталлировании можно установить практически любую скорость. Работать по этой схеме будут даже вложенные подсети VPN, которые могут задействоваться для удаленного подключения клиентов к корпоративной сети. Во время каждого пользовательского сеанса провайдер динамически выделяет либо реальный, либо виртуальный IP-адрес. К слову, у 2COM реальный IP-адрес стоит на 1 долл. в месяц дороже, чем виртуальный.

Для реализации VPN-соединений 2COM разработал собственный специализированный маршрутизатор, который выполняет все перечисленные выше функции плюс тарификацию услуг. Следует отметить, что шифрование пакетов возложено не на центральный процессор, а на специализированный сопроцессор, что позволяет одновременно поддерживать до 500 виртуальных каналов VPN. Один такой криптомаршрутизатор в сети 2COM служит для подключения сразу нескольких домов.

В целом наилучшим способом защиты домашней сети является тесное взаимодействие провайдера и клиента, в рамках которого каждый имеет возможность отстаивать свои интересы. На первый взгляд методы защиты домашней сети кажутся аналогичными тем, которые используются для обеспечения корпоративной безопасности, но на самом деле это не так. В компаниях принято устанавливать достаточно жесткие правила поведения сотрудников, придерживаясь заданной политики информационной безопасности. В домашней сети такой вариант не проходит: каждому клиенту требуются свои сервисы и составить общие правила поведения удается далеко не всегда. Следовательно, построить надежную систему защиты домашней сети гораздо сложнее, чем обеспечить безопасность корпоративной сети.

Общая схема подключения домашней сети к Internet

Валерий Коржов
09.04.2002
«Сети», № 7/2002

Статью "09.04.2002. Безопасность домашней сети" Вы можете обсудить на форуме.