Учитывая справедливую критику к статье «Руководство по безопасности беспроводных сетей», было принято решение написать на эту тему поподробнее. Вот что из этого получилось.

Наведите мышь на Wi-Fi-значок в нижнем правом углу экрана. Отобразится имя вашей беспроводной сети. 80 процентов пользователей Wi-Fi-сетей при подключении называют свою сеть «Default (Unsecured)» или «Home (Unsecured)».

Незащищенные беспроводные сети является открытым приглашением для хакеров проникнуть в ваш компьютер и украсть вашу личную информацию, загрузить вредоносные программы на ваш компьютер, или просто над вами пошутить.

К счастью, обеспечить защиту вашей Wi-Fi сети достаточно просто. В этой статье рассматриваются 10 простых шагов, которые позволят сделать вашу беспроводную сеть безопасной.

1. Изменение пароля администратора и пользователей

В процессе первой настройки Wi-Fi маршрутизатора необходимо зайти на страницу настроек встроенного веб-сервера и ввести сетевой адрес и идентификационую информацию. Обычно страница с настройками защищена необходимостью ввода имени пользователя и пароля.

Проблема: Несмотря на то, что имя пользователя и пароль знаете только вы, существует следующая проблема. Логины и пароли по умолчанию, как правило, одинаковы во всем модельном ряде маршрутизаторов определенного производителя, а также большинство пользователей никогда не меняют их. Соответственно, они становятся легкой мишенью для хакеров. Существуют сайты, которые публикуют имена пользователей и пароли по умолчанию для беспроводных маршрутизаторов, что значительно облегчает задачу хакера.

Решение: смените имя пользователя и пароль для вашего Wi-Fi маршрутизатора сразу после первого входа. И если вы изменяете пароль, убедитесь, что его очень трудно угадать. Ваше имя, дату рождения, годовщину свадьбы, имя ребенка, имя супруга или домашнего животного будут первыми при подборе пароля. Еще многие хакеры используют технику подбора по словарю (bruteforce), запустив программу, которая пытается подобрать пароль из обычных слов. Необходимо убедиться, что ваш пароль не только не содержит общие слова, а, скорее, представляет собой комбинацию букв разного регистра и цифр, а также спецсимволов, если это позволяет маршрутизатор.

2. Выбор надежного алгоритма криптования

Если информация, передаваемая по вашей Wifi сети не зашифрована надлежащим образом, то злоумышленник может легко подключиться к сети и контролировать вашу деятельность. При вводе личной или финансовой информации он может украсть ее и использовать в дальнейшем.

Старый стандарт шифрования Wired Equivalent Privacy (WEP), может быть взломан в течении 30 секунд вне зависимости от сложности фразы, используемой для ее защиты. К сожалению, миллионы Wi-fi пользователей до сих пор пользуются этой технологией шифрования, несмотря на наличие намного лучшего стандарта шифрования WPA2.

Проблема: Несмотря на наличие алгоритма шифрования WPA2, большинство домашних Wi-fi пользователей не используют этот алгоритм, поскольку они либо недооценивают проблему или же просто считают, что это слишком сложно. Как результат, многие продолжают использовать шифрование WEP, которое сейчас так легко взломать, оно рассматривается так же, как будто никакого шифрования нет вообще.

Решение: Естественно, необходимо изменить алгоритм шифрования на WPA2. Но прежде, чем вы можете использовать WPA2 защиту, вам придется выполнить несколько шагов, чтобы обновить ПО компьютера. Первый шаг состоит в том, чтобы загрузить и установить исправления для операционной системы. Вероятно, потребуется обновить драйвер беспроводной карты. В случае использования Microsoft Windows XP эти обновления, если они еще не установлены, будут перечислены на странице Microsoft Windows Update под подзаголовком «Hardware Optional».

Теперь, когда ваш компьютер и беспроводные карты находятся в актуальном состоянии, вам нужно войти в админку вашего маршрутизатора. После того, как вы вошли в систему, необходимо изменить настройки безопасности на «WPA2 Personal» и выбрать алгоритм «TKIP + AES». Затем, введите свой пароль в поле «Shared Key» и сохраните изменения.

3. Изменение ID сети.

Когда вы устанавливаете маршрутизатор, ID сети – SSID (Service Set Identifier) или ESSID (Extended Service Set Identifier) установлен в значение по умолчанию. Этот идентификатор обычно также используется как имя вашей Wi-fi сети.

Проблема: Как правило, производители присваивают одинаковые SSID для целого модельного ряда устройств, а 80 процентов домашних пользователей Wi-fi сетей оставляют эти значения по умолчанию. Это означает, что 80 процентов домовых Wi-fi систем работают под именем «Default»,»D-link» или подобно этому.

Проблема с настройками по умолчанию состоит в том, что они служат сигналом для хакеров. Хотя знание SSID не позволяет никому проникнуть в сети, оно, как правило, свидетельствует о том, что владелец сети не принял никаких мер, чтобы защитить ее. Такие сети являются наиболее уязвимыми.

Решение: изменить SSID сразу при настройке локальной сети. Это не может полностью обеспечить защиту вашей сети, но изменение SSID на что-то нестандартное отделит вашу сеть от других незащищенных сетей, что может послужить одним из факторов при выборе (скорее, отказа от выбора) вашей сети для атаки. Кроме того, использование персонального уникального имени позволит избежать ошибок подключения с соседними сетями с таким же стандартным именем.

4. Фильтрация MAC-адресов

Если вы установили незащищенную Wi-fi сеть, то с большой долей вероятности можно быть уверенным, что, по крайней мере, один из ваших соседей будет использовать вашу сеть для подключения к сети Интернет.
Для проверки использования вашей сети можно использовать MAC-адрес. Каждому сетевому устройству, и Wi-Fi в том числе, присваивается уникальный код, который идентифицирует его, это «физический адрес» или «MAC-адрес». Ваш Wi-Fi роутер автоматически фиксирует MAC-адреса всех устройств, которые подключаются к нему. Знание собственного MAC-адреса поможет вам защитить свою беспроводную сеть.

Проблема: Если Вы не уверены в том, что кто-то получил доступ к вашей Wi-Fi сети, или вы узнали, что кто-то проник в сеть, вы тут же хотите прекратить это. Но каким образом?

Решение: Проверка MAC-адресов устройств, подключенных к вашей Wi-Fi сети, даст вам представление о том, кто подключен к сети. Если вы уверены, что устройство с определенным MAC-адресом находится в сети без разрешения, то внесите этот адрес в черный список. Кроме того, данный метод можно использовать как мощное средство по ограничению доступа в сеть, разрешив доступ к сети только с определенных MAC-адресов. Естественно, это не гарантирует вам 100% защиту сети, поскольку существует современное ПО, позволяющее изменять MAC-адрес сетевого устройства.

5. Отключение широковещательного оповещения(broadcasting)

Вы переименовали вашу Wi-Fi сеть, чтобы хакеры не использовали имя по умолчанию для начала атаки на сеть. Но не будет ли лучше, если никто не будет знать, что у вас появилась Wi-Fi сеть? Как правило, ваша точка доступа или маршрутизатор запрограммированы на трансляцию в эфир имени (SSID) через регулярные промежутки времени. Хотя широковещательное оповещение имеет важное значение для мобильных «горячих точек», оно не нужно в домашних условиях или условиях малого офиса.

Проблема: Зачем оповещать всех, что у вас есть беспроводная связь? Вы уже знаете об этом, зачем нужно знать другим? Широковещательное оповещение в эфире работает как приглашение для хакеров или соседей (надеющихся на бесплатный Интернет) ищущих возможность проникнуть в сеть.

Решение: Большинство Wi-Fi точек доступа разрешают отключить трансляцию SSID. Зайдите в настройки вашего маршрутизатора.

6. Отключите автоматическое подключение к Wi-fi сетям

Большинство компьютеров могут автоматически подключаться к любой открытой Wi-Fi сети без уведомления. Если этот параметр не включен по умолчанию, многие люди выбирают его, поскольку он позволяет быстрее подключиться к сети. Еще более распространенный вариант – пользователи выбирают опцию «автоматически подключаться»для сетей, к которым они регулярно подключаются. Опять же, это имеет смысл, так как большинство людей не хотят вручную вводить название своей беспроводной сети и пароль каждый раз, когда они хотят в нее войти. К сожалению, такие варианты могут привести к значительным проблемам в области безопасности.

Проблема: Если вы будете подключаться к любым доступным Wi-Fi сетям автоматически, вы неизбежно будете также подключаться к WI-FI сетям, предназначенным специально для того, чтобы перехватить данные пользователей и взломать их компьютеры.

Аналогичным образом, если вы автоматически подключаетесь к вашим Wi-Fi сетям (т.е. вы вручную не вводите имя сети и пароль каждый раз), то это также угрожает вашей безопасности. Поскольку 80 процентов пользователей Wi-Fi не изменяют название своего беспроводного соединения, то не составит никакого труда сделать поддельную сеть с названием по умолчанию. Таким образом, хакеру не нужно будет ничего предпринимать, кроме как ждать, пока к сети не подсоединится пользователь и добровольно не предоставит свои данные.

Решение: Не выбира йте вариант «подключиться к имеющейся Wi-Fi сети автоматически» в настройках вашего сетевого подключения. Если вы не хотите вручную вводить имя и пароль для Wi-Fi соединения каждый раз, когда вы входите в сеть(самый безопасный вариант), по крайней мере, убедитесь, что вы назвали ваше Wi-Fi соединение уникально, и что вы удалили все стандартные названия из списка предпочтительных сетей. Таким образом, вы не получите автоматическое подключение к фальшивым Wi-Fi сетям, настроенными хакерами и использующими имена «по умолчанию».

7. Используйте встроенный брандмауэр

Для правильной организации системы IT безопасности необходимо использование многоуровневого подхода. Одного слоя вашей системы безопасности недостаточно, чтобы выдерживать каждую атаку. Добавляя слои в вашу систему безопасности, вы ограничиваете доступ в вашу сеть вредоносному коду. Два важных слоя системы безопасности – это брандмауэр маршрутизатора и брандмауэр вашего ПК.

Проблема: маршрутизаторы имеют встроенный брандмауэр. Однако, поскольку имеется возможность отключить их, они могут быть случайно или неслучайно выключены.

Решение: Убедитесь, что брандмауэр вашего маршрутизатора включен и успешно блокирует анонимные интернет-запросы или команды. Этот дополнительный шаг поможет скрыть присутствие вашей сети в сети Интернет, и, таким образом, поможет защитить вашу сеть. В конце концов, хакерам труднее взломать то, что не видно.

8. Местоположение маршрутизатора или точки доступа

Wi-fi сигналы не знают, где заканчивается ваш дом, и когда начинается дом соседа. Утечка сигнала Wi-Fi точки доступа дает хакерам и соседям возможность найти вашу беспроводную сеть.

Проблема: Если на открытом пространстве дальность распространения сигнала не является большой проблемой, то внутри помещения нужно озаботиться проблемой правильного покрытия. Необходимо свести к минимуму выход сигнала за пределы нужного помещения. Это важно, потому что чем дальше ваш сигнал доступен в округе, тем проще его обнаружить и использовать.

Решение: Если вы еще не установили маршрутизатор беспроводной сети(точку доступа), то выберите местоположение маршрутизатора или точка доступа в центре дома или офиса, а не возле окна или двери. Если вы живете в квартире, подумайте о том, что проникновение Wi-Fi сети зависит от свойств материалов, сквозь которые она должна пройти. Чем больше стен, дверей, а также металлических перекрытий, тем сигнал хуже проходит, то есть он становится слабее. Если ваша цель состоит в том, чтобы минимизировать утечку, можно рассмотреть вариант экранирования помещения.

9. Когда необходимо отключить сеть

Большинство из нас знают, что непрактично постоянно включать и отключать устройства. Наличие постоянного Wi-Fi соединения достаточно удобно, чем постоянное его включение и выключение. К сожалению, Wi-Fi соединение уязвимо, когда оно включено, поэтому выключив беспроводной сигнал, когда он не используется, вы тем самым предпримете еще один шаг к обеспечению безопасности вашей беспроводной сети.

Проблема: Существует проблема выбора между удобством и безопасностью при решении вопроса, выключать ли беспроводную точку доступа в отсутствии соединений.

Решение: Как вы предпринимаете дополнительные меры безопасности дома, например, уезжая на отдых, просите ваших соседей забирать почту и включать свет, так же вы должны принимать дополнительные меры безопасности, когда ваша Wi-Fi сеть не будет использоваться. Выключение сети является одним из эффективных мер безопасности, которые могут защитить вашу сеть. Нет сети – нет проблемы 

10.Тестирование сети

Теперь, когда вы внесли все перечисленные изменения в настройки вашей Wi-Fi сети, желательно было бы убедится, что ваша сеть в безопасности. К сожалению, единственный верный способ заключается в том, чтобы подождать и посмотреть, будут ли попытки взлома. Существуют программы, которые помогут вам провести аудит безопасности вашей сети.

Проблема: К сожалению, не существует способа проверить безопасность вашей беспроводной сети, который даст вам 100% ответ о надежности предпринятых мер безопасности.

Решение: Существуют утилиты, например, Netstumbler, которые умеют определять уязвимости сети и обнаруживать неразрешенные совмещенные точки доступа. В дополнение к этому программа может выявить источники сетевых помех и слабого сигнала. Netstumbler является бесплатной программой. Естественно, существуют и другие программы-сканеры сетей с подобным функционалом.

Вместо вывода
Эта статья должна служить базовым примером того, как нужно защитить беспроводную сеть от широкого спектра угроз, которые стоят перед ней, но важно помнить, что ни одна статья может охватить абсолютно все меры безопасности, которые могут быть использованы для усиления безопасности ваших Wi-Fi сетей. Таким образом, здесь не рассмотрен целый перечень других действенных мер безопасности, таких как: ограничение совместного использования файлов, изменение IP-адреса беспроводного маршрутизатора, использования статического IP-адреса для каждого из ваших компьютеров, отключение DHCP сервера, DMZ и удаленного управления функциями, а также целый ряд мер, таких как установка на компьютере брандмауэра, антивирусное программное обеспечение, установка обновлений и так далее.

Несмотря на это, при использовании описанных 10 шагов, обычный пользователь может быть уверен, что ваша Wi-Fi сеть будет работать без ущерба для ваших ПК.

По мотивам

Если вы никогда не использовали сканеры беспроводных сетей, вы можете быть удивлены тем, что они могут сказать вам о вашей беспроводной сети и данных, которые доступны через них.

Все большее число предприятий развертывают беспроводные сети стандарта 802.11 как для внутреннего использования, так и публичного доступа. Независимо от цели и конфигурации сканер беспроводной сети необходим для обеспечения ее непрерывного функционирования и безопасности. К популярным сканерам с открытым исходным кодом относятся NetStumbler, Kismet, и особенно мне нравится CommView. Эти продукты, а также большинство других сетевых сканеров, могут помочь вам получить следующие данные о вашей беспроводной сети.

Общие уязвимости: сетевые сканеры часто используются на ноутбуках или других портативных компьютерах для сканирования беспроводных сетей с движущегося транспортного средства – прием, известный как wardriving. Выполнение того же действия во время пешей прогулки называется warwalking.
Подробнее об этом можно прочитать в статье «Руководство по безопасности беспроводных сетей»

NetStumbler и некоторые другие сетевые сканеры работают активно, отправляя сообщения, которые предназначены для «прощупывания» любой точки доступа и выясняют такую информацию: SSID (сетевой идентификатор), MAC адрес и название сети, способы аутентификации. Если ваша сеть находится в безопасности, вам нечего беспокоиться об этом. Если вы подозреваете, что ваша сеть может быть уязвимой для злоумышленников из-за отсутствия мер по обеспечению безопасности, вы можете произвести сканирование, чтобы проверить потенциальные уязвимые места (например, обнаружить неправильно настроенную точку доступа, которая допускает неограниченный доступ к сети или предоставляет слишком много идентификационной информации). Существуют технологии, которые предназначены для блокировки беспроводных сетей.

Наличие незарегистрированной точки доступа: это, пожалуй, самый полезный инструмент сетевого сканера. Незарегистрированная точка доступа представляет собой точку доступа, которая существует без разрешения администратора беспроводной сети. Незарегистрированные точки доступа часто устанавливаются работниками для создания беспроводных сетей, позволяющих обойти меры безопасности, установленные на беспроводную сеть компании. Сетевой сканер позволяет просматривать исходящие пакеты, локализовать и ликвидировать несанкционированные точки доступа.

Преступники также могут установить незарегистрированные точки доступа в пределах компании для перехвата аутентификационных данных пользователей. Они могут также использовать их для прослушивания передаваемой информации и даже для получения входа в основную внутреннюю сеть.

Аппаратные проблемы: сетевой сканер является необходимым инструментом для проверки состояния беспроводного сетевого оборудования, в частности, точек доступа. Измеряя силу сигнала, сканер может помочь вам быстро определить точки доступа, которые бездействуют или плохо работают.

Местонахождение «мертвых» точек: беспроводной сети могут мешать стены, деревья, и целый ряд других антропогенных и природных объектов. Сетевой сканер может помочь вам найти места со слабым сигналом, которые затем могут быть оборудованы дополнительными точками доступа.

Источники помех для беспроводных сетей: Беспроводные сети могут быть источниками помех для соседних 802.11 установок, а также целого ряда потребительских и бизнес-устройств, включая беспроводные телефоны. В свою очередь, они же, а также двигатели и различные виды промышленного оборудования могут быть источниками помех для ваших точек доступа. Показывая уровень сигнала при перемещении, сетевой сканер может помочь вам выявить источники помех, которые генерируют сигналы на той же частоте, что и беспроводные сети.

Стоит напомнить, что на Украине действует «Рішення від 06.09.2007 № 914 «Про затвердження Переліку радіоелектронних засобів та випромінювальних пристроїв, для експлуатації яких не потрібні дозволи на експлуатацію»», согласно которому разрешено применение некоторых средств беспроводной связи малой мощности без регистрации при условии, что эти средства не создают помехи другим пользователям.

Неправильно направленные антенны, используемые для магистральных подключений: Многие компании используют беспроводное соединение типа «точка-точка» для связи на больших расстояниях вместе с общей точкой доступа, предназначенной для клиентских подключений. Направление антенны требует большой точности и корректировки для обеспечения постоянного подключения и максимальной производительности. Измеряя силу сигнала, сетевой сканер позволяет быстрее и точнее настроить антенны.

Используя полученные данные, вы всегда сможете держать свою беспроводную сеть в безопасности.

По мотивам

ИТ-безопасность это как страхование: на первый взгляд неразумные траты денег, но до тех пор, пока проблема не возникла.

Учитывая восточнославянский менталитет «авось пронесет», думаю, что данный пост будет особо полезен. Не даром же у нас существуют такие поговорки как: пока гром не грянет, мужик не перекрестится…

Итак, предприятия должны разумно планировать и развертывать технологии IT-безопасности. Точно так же, как водитель не будет страховать ржавую «копейку» 1981 года на $ 1 млн., компания не должна принимать такие меры по обеспечению безопасности, которые стоят больше, чем сама компания.

Многие предприятия склонны игнорировать ключевые меры безопасности и просто ликвидировать последствия, если возникает проблема. Является ли это хорошей идеей? Рассмотрим несколько наихудших сценариев и увидим, как превратить проблему в выгоду.

Игнорирование защиты от вредоносных программ: Зачем тратить деньги на антивирусное программное обеспечение и фильтрацию трафика? Пусть весь мировой вредоносный цифровой поток проходит через рабочие места ваших сотрудников!

Худшее из того, что может произойти: Инфицирование систем вредоносным кодом приводит к полной остановке работы и сделает их доступными для внешних атак и краже данных. К сожалению, вряд ли кто-то извне поможет вам сохранить ваши бизнес-секреты. С другой стороны, некоторые утверждают, что во многих операционных системах, таких как Linux, Macintosh и Windows Vista не нужны сторонние программы защиты от вредоносного кода благодаря встроенным мерам безопасности и/или отсутствию интереса злоумышленников к этим системам. Выбор за вами.

Игнорирование спам-фильтров: Как и защита от вредоносных программ, спам-фильтры довольно дорогостоящи. Они могут даже вызвать потерю легальной электронной почты.

Худшее из того, что может произойти: Почтовые ящики становятся перегруженными спамом, работники тратят время и нервы чтобы вычистить почту от нежелательных писем, что однозначно приводит к снижению производительности труда. Если вы можете спокойно жить в такой ситуации, можете не использовать фильтры. С другой стороны, осуществляя плату за технологии фильтрации, вы стимулируете доработки программного обеспечения, чтобы оно не препятствовало легальным сообщениям.

Неиспользование паролей: Пароли трудно запомнить, ими трудно управлять и это раздражает.

Худшее из того, что может случиться: Простые пароли легко взломать, а сотрудники, как правило, сложные пароли записывают где-то и потом теряют эти записи, создавая реальную угрозу безопасности. На самом деле, если подойти к этому вопросу должным образом, политику безопасности вашей компании можно улучшить. Вместо простого использования паролей, необходимо рассмотреть возможность использования технологий двойной аутентификации, например, биометрии (сканер отпечатков пальцев) или смарт-карт.

Прекращение обучения сотрудников: Обучение стоит дорого и отнимает много времени, что часто раздражает сотрудников.

Худшее из того, что может произойти: неподготовленные сотрудники непреднамеренно могут подвергнуть систему различным типам атак. Обучение, к счастью, может принимать различные формы, от руководства пользователя и веб-справки, до официальных занятий. Определите, какой подход вам больше подходит, анализируйте уровень знаний ваших сотрудников.

Нешифрованные данные на ноутбуке: Шифрование данных может быть неудобным и долговременным процессом. Также, если ключи шифрования теряются, то важные данные тоже могут быть утеряны навсегда.

Худшее из того, что может произойти: Украв ноутбук, воры могут получить доступ к конфиденциальной коммерческой информации. С другой стороны, если ноутбуки не содержат каких-либо важных данных, шифрование не требуется. Проблема решается ограничением удаленного доступа к критически важным данным в защищенной сети. Кроме того, вы можете запретить сотрудникам хранить любые конфиденциальные данные на ноутбуках или любых других портативных устройствах.

Игнорирование проблем беспроводной безопасности: Вы не шифруете данные, передаваемые беспроводным способом, и не сканируете эфир на наличие точек доступа поблизости.

Худшее из того, что может произойти: Ваша беспроводная сеть подвергнется атаке воров данных. Нападающие могут также использовать вашу незащищенную беспроводную сеть в качестве точки проникновения к данным проводной сети. С учетом этих многочисленных угроз, а также относительной простоты и низкой стоимости мер беспроводной безопасности, все-таки необходимо их использовать.

Отключение инструментов сетевой безопасности: Кому нужны брандмауэры, системы обнаружения и предотвращения вторжений и VPN (виртуальные частные сети)?

Худшее из того, что может произойти: Проникнуть в вашу сеть не составит особого труда. Необходимо выбрать методы и технологии защиты исходя из топологии вашей сети и потребности в защите данных.

Игнорирование технологий IT-безопасности это однозначно большой риск. Разумная стратегия состоит в том, чтобы тщательно выбирать технологии и методы, которые наиболее подходят для вашей сети.

Одним словом, за безопасность нужно платить, а за ее отсутствие – расплачиваться!

По мотивам

Оградите себя от напряженной работы администрирования и мониторинга вашей системы электронной почты с использованием таких передовых методов:

Методы администрирования
1. Найдите безопасного интернет-провайдера. Наиболее известные провайдеры используют фильтры «промышленного класса», которые препятствуют массовой рассылке спама на почтовые ящики своих клиентов.

2. Используйте спам-фильтры. Большинство сервисов электронной почты, в том числе бесплатные, имеют систему фильтрации спама, которая может быть включена или выключена. Спам фильтры не дают 100 процентов точности определения, так что необходимо регулярно просматривать вашу спам-папку, чтобы вы не упустили ничего важного. Хоть это и неудобно, но все-таки стоит использовать фильтры.
3. Используйте антивирусное программное обеспечение. Все рабочие станции должны быть оснащены антивирусным программным обеспечением, которое постоянно сканирует систему. Это дополнит антивирусную фильтрацию электронной почты. Также антивирусная фильтрация может быть включена на стороне почтового сервера.
4. Соблюдение норм и стандартов рассылки электронной почты. Некоторые страны используют определенные правила массовых рассылок по электронной почте. Если вы или ваша команда использует электронную почту для бизнес-рекламы, нужно знать законы не только вашей страны, но, и других стран, в которые вы можете отправить письмо по электронной почте. Это трудно, учитывая глобальность сети Интернет, но этим не стоит пренебрегать. Наилучшим решением будет то, что ваши рассылки электронной почты будут производиться службой, которая имеет достаточно знаний в этой области.
5. Не просто удалять – уничтожать. При модернизации и утилизации старых систем, не форматируйте быстрым способом жесткие диски. Если вы не доверяете программам, несколько раз перезаписывающим секторы дисков, можно рассмотреть такой способ утилизации, как, например, кувалда.
6. Не публикуйте различные e-mail адреса вашей компании на веб-сайтах. Корпоративные адреса электронной почты должны быть известны другим сотрудникам, нескольким их близким родственникам и партнерам. Если вы публикуете адреса электронной почты на вашем веб-сайте, то тем самым вы приглашаете спамеров и даете простор для творческого полета специалистам по фишингу. Если вы все-таки публикуете адреса электронной почты на веб-сайте, то необходимо делать это так, чтобы адрес был понятен только человеку. Например, если ваш адрес bob.loblaw@mycompany.com, то попробуйте замаскировать его: bob-DOT-loblaw#at#mycompany-dot-com. Однако, спамботы со временем становятся умнее. Используйте различные знаки препинания. Один из вариантов заключается в том, чтобы создать общие адреса (например, jobs@mycompany.com или pr@mycompany.com) и включить спам-фильтр на экстра-агрессивный уровень для этих адресов.
7. Используйте контактную форму. Пусть посетители веб-сайта связываются с вами, используя Web-форму, которая пересылает сообщения на соответствующий адрес. Тогда ваши сотрудники могут отличить спам от подлинного запроса, также адреса могут быть изменены в любой момент и не будет необходимости производить изменения на сайте.

Методы работы с персоналом

С тех пор, как электронная почта стала самым распространенным способом коммуникации на рабочем месте, можно наложить множество ограничений на ее использование, но лучше обучить сотрудников основам безопасности при использовании средств электронной почты.
Создайте официальную политику использования корпоративного почтового ящика, ознакомьте сотрудников с ней, и предоставьте им информацию, необходимую для безопасного использования электронной почты. Вот несколько советов, которые вы можете использовать в своей политике, чтобы поддержать сетевую безопасность:
1. Ограничьте личную переписку через бесплатные почтовые службы. Gmail, YandexMail, Yahoo! или другая служба почти идеально подходят для работы с сообщениями и подпиской, не связанной со служебной деятельностью. Это оградит корпоративный почтовый сервер от нежелательного спама. Необходимо уделить этому вопросу достаточно внимания, поскольку информация о компании и о клиентах не должна быть отправлена через бесплатные почтовые службы. (В некоторых сферах, таких как финансовые услуги, необходимо заблокировать все бесплатные почтовые службы, чтобы информация о клиентах гарантированно не была случайно отправлена через публичные сервисы).
Кроме того, лучше всего создать отдельную учетную запись электронной почты для мобильного устройства. Если вы планируете долгое время не использовать одну из учетных записей, то необходимо настроить перенаправление писем с одного ящика на другой, который будет использоваться, при этом оставить включенными все фильтры.
2. Используйте механизм отправки «скрытой копии». Если вам необходимо отправить сообщение группе людей, которые не знают друг друга, не перечисляйте все адреса в поле «адрес», потому что спамеры могут похитить все эти адреса. Вместо этого используйте механизм отправки скрытой копии в вашей почтовой программе.
3. Отправляйте только файлы безопасного типа. Например, файлы Microsoft Word (.doc(x) формат) могут быть заражены макро-вирусами, а сотрудники могут отправить файлы даже не сознавая, что файл поврежден. Безопасным могут считаться Word-документы, сохраненные в RTF (Rich Text File) или PDF формате. Другим вариантом является использование OpenOffice.org, бесплатной альтернативы Microsoft Office, позволяющей пользователям создавать электронные таблицы, текстовые документы и диаграммы, и сохранять их в соответствующий формат MS Office.
4. Остерегайтесь спамерских меток. Открытие одного спамового письма позволяет направить целый поток спама в ваш ящик. Маяки, встроенные в спам, как правило, невидны и могут быть замаскированы в виде GIF-картинки в один пиксель, загружаемой с сервера, контролируемого спамерами для проверки того, что вы открыли письмо и ваш адрес является действующим. Ниже приведены некоторые общие методы, которые спамеры используют, чтобы побудить вас открыть письмо:

• Фишинговые сообщения: Остерегайтесь сообщений якобы от PayPal, Western Union, E-Gold, Webmoney, Yandex.Деньги и других финансовых компаний, которые угрожают закрыть счет или заблокировать баланс, если пользователь не нажмет на ссылку не подтвердит данные учетной записи. Ссылки выглядят натурально, но вместо этого они перенаправляют получателей на сайт, созданный для сбора логинов и паролей, данных кредитной карты и/или банковских реквизитов, и так далее. Никогда не нажимайте на такие ссылки в электронной почте. Вместо этого, физически (или зайдите на официальный веб-сайт) обратитесь в адрес компании, если вас беспокоит ваш счет. Честные компании расскажут вам, что они никогда не отправляют такого рода сообщения по электронной почте.

• Вернувшиеся Email-ы: Спамеры могут отправить письмо, которое имитирует сообщения почтового сервера, который утверждает, что сообщение не доставлено.

• Тотализаторы и лотереи: Если вам пришло сообщение, что вы выиграли в лотерею, не открывайте его. На самом деле, нет никакой бесплатной лотереи. Как правило, нужно купить билет, чтобы выиграть в лотерею. Кроме того, законные лотереи не будут просить вас направить деньги в их адрес в обмен на выигрыш.

• Отказ от подписки: Не нужно нажимать на ссылку в конце спам-письма: «Отписаться от рассылки». Если вы начнете получать «рассылку» писем из источника, на который вы не подписывались, не используйте ссылку «отписаться». Если Вы это сделаете, вы просто будете получать еще больше писем. Лучше просто добавить адрес электронной почты (или всего домена) в «черный список «.

5. Черный список спам-адресов. Не просто удаляйте спам – добавляйте отправителей в список блокировки адресов, чтобы они не могли больше слать вам спам. Компании должны предоставить простой способ для работников, чтобы они могли отметить сообщения как спам и автоматически добавить отправителей в черные списки.
6. Осторожно открывайте вложения. Вложения часто используются спамерами, они содержат вредоносные файлы, которые могут устанавливать вредоносные программы, и как минимум занимать ресурсы компании и пропускную способность интернет-канала.
Для файлов, которые будут использоваться несколькими работниками или всем отделом, рекомендуется использовать общие сетевые папки или VPN для обмена ресурсами удаленно.

Сотрудники также должны быть осведомлены о рисках получения вложений. Если вы получили вложение, которое вы не ожидали, проверьте подлинность его отправителя. Если сомневаетесь, позвоните или напишите отправителю, чтобы убедиться, что вложение безопасно.

Следуя этим нехитрым правилам, вы можете быть уверенными, что ваша почта безопасна и не причинит ущерба вашим информационным системам.

Источник

Столкнувшись с такой проблемой, многие предприятия стали полагаться на защиту сети брандмауэром для контроля трафика между корпоративной сетью и Интернетом. Межсетевые экраны принимают решения по  каким данным и по каким обстоятельствам сетевым пакетам позволено «войти» в сеть, а каким «выйти» из сети.

Установка брандмауэра является первым важным шагом в направлении обеспечения безопасности вашей сети, но также необходимо убедиться, что он настроен в соответствии с необходимыми требованиями. При настройке межсетевого экрана рекомендуется следовать советам экспертов. Настройте ваш брандмауэр, увеличив безопасность вашей сети, выполнив эти 10 советов экспертов:

1. Защитите вашу систему

Для начала нужно устранить уязвимости в вашем оборудовании. Прежде чем вы установите брандмауэр, вы должны защитить клиентские машины, закрыв любые неиспользуемые порты и отключив неиспользуемые протоколы или учетные записи пользователей. В идеале, брандмауэры должны дополнять системы безопасности, которые вы уже настроили в вашей системе.

Аппаратные брандмауэры продаются уже настроенные и обученные, но если вы приобрели программное решение, вам придется сделать это самостоятельно. К счастью, есть много ресурсов, в которых описаны правила настройки брандмауэров.

2. Чем проще, тем лучше

Брандмауэр используется для обеспечения политики сетевой безопасности, так что вы должны четко определить принципы безопасности, прежде чем начать писать правила. Если у вас есть написанные политики безопасности, попытайтесь сделать конфигурацию как можно более простой при написании соответствующих политике правил. Если вы адаптируете готовое стандартное решение, то по необходимости удалите из него ненужные вам правила. Брандмауэр будет более эффективным и им будет легче управлять, если вы ликвидируете ненужные и лишние правила.

3. Организация правил позволяет быстро их анализировать

Межсетевые экраны обрабатывают правила в порядке того, как они написаны, так что наиболее быстро обрабатываются правила, находящиеся в верхней части списка правил. Если запрос совпадает с одним из первых правил брандмауэра, остальные обрабатываться уже не будут, что экономит время обработки пакета.

Легко обрабатываются правила, включающие в описание порт источника, протокол, IP адрес. Правила, которые являются более сложными, обрабатывают доменное имя, URL адрес, а также другое содержание пакета и анализируют пользователей, отправивших пакет.

4. Запрещать, запрещать и еще раз запрещать!

Поскольку в вашей сети должен быть только разрешенный трафик, необходимо запрещать весь  трафик по умолчанию, а затем разрешить необходимые сервисы. Это можно сделать, используя глобальные разрешающие и запрещающие правила. Глобально разрешающее правило дает определенный доступ всем пользователям, в то время как глобально запрещающее правило запрещает доступ к сервису всем пользователям.

Вы можете установить разрешающее правило для DNS (Domain Name Server) протокола, например, и запрещающее правило для пользователей, пытающихся использовать пиринговые протоколы. Эти правила будут отфильтровать трафик, который брандмауэр обработает в соответствии с политикой доступа.

5. Мониторинг исходящего трафика

Обычно, думая о безопасности сети, мы думаем как защитить наши системы от внешних угроз, таких как вирусы и черви, атаки, но атаки также могут легко быть инициированы изнутри сети. Вот почему нужно настроить брандмауэр для фильтрации исходящего трафика так же, как и входящего. Этот тип фильтрации, называемый «выходная фильтрация», запрещает неразрешенным пакетам выйти за компьютеры и серверы сети. Она также предотвращает использование внутренних машин как зомби для осуществления атак на другие серверы.

Используйте выходную фильтрацию, чтобы заблокировать весь трафик по умолчанию, а затем разрешите только определенные виды трафика для конкретных серверов, таких как электронная почта, Интернет и DNS трафик.

6. Настройка DMZ (демилитаризованной зоны)

DMZ представляет собой небольшую сеть, которая находится между внутренней (корпоративной) сетью и сетью Интернет. DMZ предотвращает получение прямого доступа внешних пользователей к компьютерам компании. Обычно, DMZ получает запросы от внутренних пользователей на доступ к веб-сайтам и другой информации внешней сети. DMZ инициирует запросы и пересылает пакеты с выполненным запросом обратно на клиентскую машину. Часто веб-сервер компании находится на DMZ для того, чтобы внешние пользователи могли получить доступ к веб-сайту, и не имели доступа к конфиденциальным данным, размещенным в корпоративной сети.

Существуют два вида DMZ. Первый называется three-homed сеть. В этой конфигурации, шлюз с брандмауэром имеет три соединения: один для внутренней сети, второй для Интернета и третий для DMZ. Второй тип DMZ называется back-to-back сеть, и он использует два шлюза с брандмауэрами. Один шлюз имеет подключение к Интернет и DMZ, а второй имеет подключение к внутренней сети и DMZ. Таким образом, DMZ находится между внутренними и внешними сетями.

В обеих конфигурациях необходимо настроить брандмауэр для ограничения трафика в каждую сеть и из каждой сети.

7. Настройка NTP (Network Time Protocol)

NTP это название протокола и клиент/серверной программы, которая позволяет синхронизировать часы компьютера по сети. Синхронизация времени важна для реализации распределенных сетевых процедур. Даже небольшая разница в часах между компьютерами может посеять хаос при выполнении последовательности распределенных процедур. NTP использует UTC (всемирное время) для синхронизации времени вплоть до миллисекунд.

NTP особенно важно для обеспечения точности записи брандмауэром событий в журнал. Возможно, вы захотите провести расследование атаки, проведенной на вашу сеть путем анализа журнала трафика, и время будет иметь решающее значение для выяснения того, что произошло.

8. Настройка брандмауэра, как IDS (система обнаружения вторжений)

IDS иногда продаются в качестве автономных устройств, которые обнаруживают атаки на сеть или компьютер, но вы также можете настроить ваш брандмауэр, чтобы он работал как IDS. Главное внимательно изучить журнал брандмауэра на предмет сканирования портов, попытки взлома или каких-либо других подозрительных событий. Необходимо уделять особое внимание утечке трафика от DMZ, так как это первый признак подозрительных действий в сети.

Собрав нужные данные, вы можете построить график и видеть тенденции, которые помогут вам писать более строгие правила. Вы можете также установить активный мониторинг лог-файлов с уведомлением о подозрительной деятельности.

9. Тестирование на уязвимости

Когда вы настроите свой брандмауэр, необходимо проверить его на известные уязвимости. Необходимо тщательно протестировать брандмауэр на каждом интерфейсе, во всех направлениях. Кроме того, можно попробовать протестировать вашу сеть при выключенном брандмауэре, чтобы понять, насколько уязвима ваша система  в случае «падения» брандмауэра.

Новые эксплойты пишутся постоянно, поэтому лучше всего взять за правило тестировать и проверять брандмауэр регулярно.

10. Протоколирование

Журнал записи информации о сетевом трафике, проходящем через брандмауэр, имеет неоценимое значение, когда вы пытаетесь расследовать подозрительные движения и нападения. Журналы также важны, когда вы хотите написать правила против новых угроз, поскольку они позволяют выявлять и отслеживать новые сетевые активности. Убедитесь в том, что ведение журнала включено в вашем брандмауэре, а также происходят оповещения о заданных действиях, если у продукта есть такая возможность.

Если у вас есть несколько брандмауэров, вы можете также быть заинтересованы в создании сервера журналов. Преимущества централизованного управления протоколами состоит в более легком доступе к журналам аудита. Удаленный сервер также делает более трудным несанкционированное изменение или манипулирование журналами.

Источник