Что я лично, как бывший сисадмин и как человек, много лет работающий с локальными (и не только) сетями дома, в офисе, в компаниях могу сказать



Дата14.05.2018
Размер27.9 Kb.

Что я лично, как бывший сисадмин и как человек, много лет работающий с локальными (и не только) сетями дома, в офисе, в компаниях могу сказать.

Спорить с уважаемым изданием securelist.ru*, разместившим статью я, конечно же, не буду. Просто выскажу свой взгляд на то, как бы я построил (и как, отчасти, сделано) более менее безопасную сеть у себя дома.

Во-первых, надо чётко держать в голове и понимать тот непреложный факт, что чем выше изначально желаемый уровень безопасности, тем больше в результате неудобств и ограничений в пользовании. Простейшие тому примеры — костюмы химической или радиационной защиты в армии и МЧС, сейфовые двери в банках, требующие сложных действий и присутствия нескольких человек для их открытия, процедуры принятия решения в СБ ООН и т.д. Так как любая безопасность подразумевает ограничение возможности доступа к чему-то (или кому-то), как снаружи внутрь, так и изнутри наружу.

Во-вторых, держа в голове первый пункт, человек начинает понимать (или думать, что понимает), какой уровень соотношения между удобством пользования и безопасностью он готов выбрать и принять для себя. Для этого читает обзоры, статьи, в которых компетентные профессионалы рассказывают свои точки зрения, описывают различные истории, он общается с друзьями и коллегами и, в конце концов, может обратиться к профессионалам, которые помогут ему решить его задачи.

В-третьих, он делает сам или при помощи друзей и коллег, либо заказывает у профессионалов, безопасно-удобную информационную систему. Некоторое время пользуется, затем по результатам система, как правило, дорабатывается — если заказывалась у профи, то в сторону повышения уровня удобства, если делалась самим с друзьями, то, после возможного взлома, в сторону повышения безопасности.

Конкретная идея изоляции портов с точки зрения удобства системы даёт на выходе 0%. Поскольку, зачем в этом случае медиа-центр, телевизор, компьютер, планшеты, смартфоны, локальный сторэдж, если они не будут в состоянии взаимодействовать друг с другом? Да, скорее всего не все устройства должны друг друга видеть, но уж явно большинство из них должно иметь доступ (кроме интернета, естественно) к сторэджу, медиа-центру и, скорее всего, при его наличии, к стационарному компьютеру, как к источникам того либо иного контента — будь то собственные презентации, семейные фотографии и видео и т.п.

Поэтому, с моей точки зрения, главные задачи для домашней сети это:
— внимательное администрирование, хотя бы на уровне базовых рекомендаций по установке сложных паролей (вида Ag3HnW7$8aSb14VB) на все действующие аккаунты на всех устройствах и на беспроводные сети в том числе;

— отключение ненужных «сервисов» на устройствах, чтобы с сетевой точки зрения эти устройства не выглядели подобно дому с сотней открытых дверей, а на нужных дверях стояли пароли из пункта выше;

— фильтрация данных между различными устройствами внутри домашней сети, что для «обычного» человека уже звучит как тарабарщина, но это обязательная часть для тех, кто хочет реально обезопасить свою домашнюю сеть. Помочь сделать это правильно могут только управляемые коммутаторы с функцией Access Control List или многопортовые межсетевые экраны. По сложности настройки эти решения примерно одинаково** «непроходимы» для непрофессионалов, но по цене многопортовые межсетевые экраны заметно (в разы и даже десятки раз) дороже.

Моё мнение — первые два пункта доступны в качестве начального шага для того, чтобы обезопасить домашнюю сеть большинству пользователей, третий требует привлечение квалифицированных профессионалов сетевого дела, но даёт на несколько шагов более качественную защиту.


* – одним из стимулов для подготовки статьи http://technodrive.ru/rostov.php?20036 стал текст https://securelist.ru/analysis/obzor/22001/internet-veshhej-kak-ya-xaknul-svoj-dom/
** – ACL всё-таки выглядит дружелюбнее и чем-то напоминает, в данном случае, хорошо знакомую многим «линуксоидам» полезную утилиту IPTables для управления межсетевым экраном NETFilter. Здесь и выше — примечание редакции TechnoDrive.ru


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©znate.ru 2017
обратиться к администрации

    Главная страница