Текст книги "«Умный дом» своими руками. Строим интеллектуальную цифровую систему в своей квартире"

Чтобы проверить, установлена ли проводная связь, можно поступить следующим образом. Вызвав при помощи кнопки Пуск пункт Выполнить, набрать команду cmd, а затем в появившемся окне написать такую команду:

ping 192.168.1.1

Если IP-адрес точки доступа отличается от этого, прописать нужно его. После набора команды и нажатия кнопки клавиатуры Enter, в случае успешного подключения на экране должны появиться строки, иллюстрирующие обмен пакетами с точкой доступа, а также скорость ответа (рис. 7.32). Если потерь при этом нет, соединение настроено правильно.

Рис. 7.32. Выполнение команды ping – проверка связи

7.3. Защита беспроводной сети

При использовании доступа к сети по Wi-Fi обязательно возникает вопрос насчет безопасности такого подключения. Ведь если любой компьютер в пределах дома может подключиться к вашей точке доступа, то почему бы этого не сделать соседям? И если организовать защиту несанкционированного доступа к вашей сети, не сможет ли злоумышленник перехватить поток информации и расшифровать его? Об этом и поговорим.

Защита от несанкционированного доступа и шифрование передаваемой информации – основные моменты безопасности беспроводных сетей. Как правило, беспроводное оборудование уже само по себе содержит элементы защиты – важно уметь правильно ими пользоваться. Так же и программное обеспечение для работы с Wi-Fi, как правило, оснащено средствами от несанкционированного доступа и программами шифрования.

ПРИМЕЧАНИЕ

Одно из уязвимых мест беспроводных сетей – доступ к настройке точки доступа через беспроводную сеть (ведь каждый раз подключать устройство проводом к компьютеру может быть утомительно). Если при этом не установить хотя бы какую-то защиту, доступ к сети сможет получить любой желающий, конечно, разбирающийся в вопросе. Чтобы этого не случилось, нужно позаботиться о защите сети либо о том, чтобы управлять точкой доступа можно было лишь посредством ее подключения проводом. А для надежности можно использовать оба варианта.

Один из способов ограничить несанкционированный доступ к сети – настройка фильтрации точки доступа по MAC-адресам. Поскольку для каждого беспроводного устройства MAC-адрес уникален, идентификация оборудования может проводиться именно по его соответствию определенной записи в настройках точки доступа.

Определить, какой MAC-адрес имеет ваш сетевой адаптер или точка доступа, можно при помощи консольных средств Windows. Для этого, нажав кнопку Пуск, а затем в появившемся окне набрав команду cmd, в консоли, которая откроется после выполнения команды, следует написать следующую команду:

ipconfig /all

После этого нужно нажать Enter. В результате на экран будут выведены сетевые настройки вашего компьютера, в том числе и MAC-адрес карты Wi-Fi (рис. 7.33) – в строке Физический адрес в шестнадцатеричном формате можно будет увидеть MAC-адрес данного устройства. В данном примере MAC-адрес имеет такой вид: 05-15-95-57-5D-0A.

Рис. 7.33. Результат выполнения команды ipconfig /all

Выяснив MAC-адреса всех беспроводных устройств, их нужно внести в таблицу фильтрации MAC-адресов на точке доступа – это можно сделать, как правило, через интерфейс точки доступа или маршрутизатора. Таким образом, доступ к сети будет разрешен лишь тем устройствам, адреса которых внесены в список. Другие устройства не смогут пользоваться сетью.

Впрочем, такой защиты совершенно недостаточно, так как MAC-адрес передается в незашифрованном виде. И если уж кто-то решит позариться на вашу сеть, ему не составит большого труда выяснить его и создать необходимые настройки для подключения. Но в совокупности с другими способами фильтрация по MAC-адресу может быть и полезной. Следует учесть, что каждый раз, когда список устройств в вашем доме будет пополняться (например, если вы решили поиграть по сети, и к вам пришли друзья с ноутбуками), вам придется менять настройки точки доступа, чтобы дать возможность компьютерам связаться между собой.

В качестве других способов защиты можно настроить виртуальную частную сеть VPN, которая к тому же обеспечивает и достаточно высокий уровень кодирования информации, либо использовать методы шифрования. Последние зашифровывают сетевой трафик таким образом, что устройства, которым неизвестен ключ для дешифровки, попросту не смогут подключиться к вашей сети. То есть для подключения новых устройств нужно будет лишь выдать им ключ – и они окажутся в сети.

Протокол WEP (Wired Equivalent Privacy – эквивалент проводной безопасности) был разработан в качестве основного средства защиты беспроводных каналов, поэтому он изначально был встроен в спецификации стандарта 802.11. На сегодняшний день в зависимости от версии WEP ключ может иметь длину 64 или 128 бит, то есть 5 или 13 ASCII-символов. Поскольку часть символов ключа генерируется динамически по специальному алгоритму, ключ постоянно меняется, что усложняет несанкционированный доступ. Пользователь может использовать как ASCII-символы, так и последовательность шестнадцатеричных цифр. Такие ключи вводятся в окно запроса – и если ключ правильный, компьютер допускается в сеть. В зависимости от того, какой тип аутентификации будет выбран для настройки точки доступа, сетевой трафик будет шифроваться по-разному.

Существует несколько видов аутентификации:

□ Open System;

□ Shared Key;

□ 802.1x;

□ WPA;

□ WPA Pre-shared Key.

При выборе аутентификации Open System для входа в беспроводную сеть достаточно знать только ее идентификатор SSID. То есть это тот вариант, в котором аутентификации по сути нет, и для шифрования он не подходит. А вот режим Shared Key вполне подходит для организации системы безопасности сети – он требует наличия WEP-ключа, общего для всей локальной сети, что вполне подойдет для домашнего использования.

Установив на точке доступа тип аутентификации Shared Key, выбирают сам ключ и его размер (лучше 128 бит). После этого такие же настройки переносятся и на все карты Wi-Fi имеющихся в доме компьютеров. Подобные действия производятся либо при помощи специальных утилит, которые могут быть в комплекте поставки точки доступа, либо при помощи специальной утилиты Windows. Для этого в Сетевых подключениях следует выбрать Беспроводное сетевое подключение и, нажав на его ярлыке правой кнопкой мыши, выбрать Свойства. Во вкладке Беспроводные сети нужно найти раздел Предпочитаемые сети и щелкнуть два раза мышью на профиле той сети, к которой вы подключаетесь (рис. 7.34). То же самое произойдет, если нажать на кнопку Свойства. В открывшемся окне на вкладке Связи напротив пункта Проверка подлинности из выпадающего списка нужно выбрать Совместная (что равносильно Shared Key). Для пункта Шифрование связи следует установить WEP (рис. 7.35), а также указать ключ сети и подтвердить его, то есть набрать ключ еще раз (если будет отмечен пункт Ключ предоставлен автоматически, поле для указания и подтверждения ключа будет неактивным). Конечно же, WEP-ключ необходимо указывать тот же, что был задан при настройках точки доступа.

Рис. 7.34. Выбор сети для настройки

Рис. 7.35. Установка ключа беспроводной сети

Чтобы повысить надежность защиты сети, в методе WEP-шифрования предусмотрена возможность задания до четырех ключей. Так что время от времени вы можете менять ключи (конечно, ключи должны совпадать на точке доступа и в устройствах сети) и быть спокойны насчет сохранности своей информации.

И все-таки WEP-шифрование нельзя назвать панацеей – методом подбора постоянными запросами, используя специальные программы для этого, ключ все-таки можно подобрать. Гораздо более защищенным методом шифрования данных можно назвать WPA. Поэтому, если точка доступа и компьютеры поддерживают таковой, лучше воспользоваться именно им.

Метод шифрования WPA (Wi-Fi Protected Access – защищенный доступ к Wi-Fi) отличается тем, что предполагает наличие персональных ключей у каждого устройства. Кроме того, этот стандарт использует проверку ключа и отправителя данных, и если ключ информационного пакета не совпадает с ожидаемым, этот пакет игнорируется.

Из двух видов метода WPA: Enterprise (стандартный) и WPA Pre Share (персональный) – в домашних условиях, как правило, используют второй, так как для использования Enterprise нужен специальный сервер. Режим WPA Pre Share так же, как и WEP, выдает допуск к сети только при наличии у устройства заданного ключа, а кроме этого, предусматривает первичную аутентификацию пользователей, которая также использует ключ.

ПРИМЕЧАНИЕ

Необходимо заметить, что выбирать WPA-шифрование следует только тогда, когда все без исключения устройства, которые планируется подключить к сети, поддерживали этот стандарт. Иначе для всей сети будет использоваться стандарт WEP.

Настройка точки доступа для работы с WPA осуществляется подобно настройке WEP-шифрования: в качестве типа аутентификации выбирается WPA Pre-Shared Key, тип шифрования – TKIP или AES, там же задается ключ (это может быть не только ряд цифр, но и буквы). Метод TKIP (Temporal Key Integrity Protocol) основывается на устаревшем и маломощном алгоритме шифрования, его следует применять, если используется оборудование на базе стандарта IEEE 802.11b. AES (Advanced Encryption Standard) – более сложный метод шифрования, для него требуется аппаратная поддержка, реализованная в более новых устройствах, поддерживающих стандарт 802.11i (впрочем, устройства, поддерживающие AES, опционально могут поддерживать и TKIP – для совместимости со старыми устройствами).

Дальнейшая настройка производится на компьютерах, которые входят в состав беспроводной сети. В пункте Сетевые подключения производится выбор беспроводного подключения, нажатием на котором правой кнопкой мыши выбираются Свойства, после чего откроется новое окно. Во вкладке Беспроводные сети этого окна нужно открыть свойства предпочитаемой сети и во вкладке Связи выбрать WPA PSK и TKIP (или AES) соответственно для пунктов Проверка подлинности и Шифрование данных (рис. 7.36). В поля пунктов Ключ сети и Подтверждение вводится такой же ключ, какой был выбран при настройке точки доступа.

Рис. 7.36. Установка параметров WPA-шифрования

Стандарт WPA 2 является наиболее современным на сегодняшний день. Отличие его от других в том, что для шифрования в нем используется алгоритм AES (в более ранних версиях методов используется алгоритм шифрования RC4 – как показало время, менее надежный).

Создавая сеть на основе технологии Wi-Fi, не стоит пугаться потенциальных взломов. Достаточно обеспечить хорошую защиту – и можно жить, не думая о неприятностях. Конечно, риск того, что однажды вашу сеть могут взломать, присутствует, однако не больший, чем в случае проводных сетей – выходя в Интернет, вы уже подвергаете свой компьютер возможности подхватить вирус или открыть порт, по которому к вам могут забраться злоумышленники. По большому счету относительно безопасности проводные и беспроводные сети практически не отличаются друг от друга. Так стоит ли лишать себя удобства и комфорта, отказываясь от сети без проводов? В конце концов, WEP и WPA вполне справляются со своими обязанностями в домашних сетях.

7.4. Защита информации: брандмауэр

Настроив защиту сетевого трафика, мы отсекаем возможность проникнуть в нашу сеть и пользоваться нашей информацией, которая передается по проводам или при помощи Wi-Fi. Но, кроме этого, сами компьютеры могут подвергаться рискам (например, вирусным атакам), так как существуют всяческие уязвимости операционных систем. Для того чтобы избежать проникновения незваных гостей на свой компьютер, устанавливают еще один вид защиты – брандмауэр.

Брандмауэр (Firewall), который также называют межсетевым экраном или файрволом, – это комплекс программных или аппаратных средств для контроля и фильтрации пакетов информации в соответствии с заданными правилами. То есть брандмауэр устанавливается для защиты компьютерных сетей или отдельных машин от несанкционированного доступа на них.

Межсетевые экраны ставятся как на аппаратном уровне, так и программными средствами. Операционная система Windows XP, например, имеет встроенный брандмауэр. А многие сетевые устройства имеют аппаратный брандмауэр.

Модемы и маршрутизаторы могут иметь встроенную возможность настройки брандмауэра, который в дальнейшем может ограничить прохождение пакетов IP-протокола через устройство. Однако, как правило, дополнительная настройка межсетевого экрана не требуется: по умолчанию настройка правил подобных устройств и так обеспечивает необходимые функции защиты.

Тем не менее иногда требуются более гибкие правила конфигурации ограничений, например при настройке маршрутизатора для разрешения доступа к внутреннему веб-серверу только компьютерам из какой-то определенной подсети. Для этого в настройках устройства следует найти пункт Firewall, в котором нужно прописать необходимые правила (рис. 7.37).

И все же, поскольку в домашних сетях аппаратных настроек, встроенных в маршрутизаторы, как правило, хватает для защиты своей сети, вполне можно оставить все как есть.

Но оставить компьютер без защиты совсем тоже не всегда разумно – вирусы, хакеры и прочие разрушители пользовательского спокойствия при желании могут забраться в компьютер и натворить в нем дел.

Рис. 7.37. Пример страницы конфигурации брандмауэра на маршрутизаторе

Брандмауэр, построенный при помощи программного обеспечения, называют еще персональным – так как эта защита запускается на каждом отдельном компьютере. В основном функции персонального межсетевого экрана подобны функциям аппаратного брандмауэра. Однако брандмауэр программного уровня, кроме того, может назначать различные правила для разных пользователей без дополнительной сетевой авторизации, отслеживать и контролировать работу приложений, работающих с портами, поддерживать фильтрацию MAC-адресов, портов и содержимого почты, сайтов, а также фильтровать спам.

Операционная система Windows имеет встроенный брандмауэр (рис. 7.38). Если он включен, он будет защищать подключения к сети компьютера от несанкционированного доступа и заражения некоторыми типами вирусов. Однако эту защиту можно как отключить, так и настроить под свои нужды, например задавать исключения, которые будут предоставлять возможность некоторым видам программного обеспечения получать доступ в сеть без ограничений брандмауэра.

Рис. 7.38. Встроенный брандмауэр Windows

Рис. 7.39. Исключения брандмауэра Windows

Войти в настройки встроенного брандмауэра можно через Панель управления – пункт, который необходим для этого, так и называется: Брандмауэр Windows. Здесь можно отключить брандмауэр совсем или включить и настроить так, как нужно именно вам. При установке галочки в пункте Не разрешать исключения будет активирован такой режим работы, при котором брандмауэр отключает список исключений.

Исключения можно задавать на одной из вкладок окна брандмауэра (рис. 7.39). Для тех приложений, которые будут отмечены галочками в списке исключений, будут разрешены входящие подключения, тогда как для остальных такого разрешения не будет. Здесь же можно создать правила для отдельных портов, к которым вы хотите допустить подключения. Для этого нужно нажать на кнопку Добавить порт… и в полях открывшегося окна внести соответствующие записи: протокол и номер порта (рис. 7.40). После внесения записи подключения к этому порту из сети блокироваться брандмауэром не будут. Чтобы узнать о том, какой протокол и порт использует приложение, необходимо обратиться к его документации.

Рис. 7.40. Добавление порта в список исключений

Отключить защиту для определенных подключений или настроить для них дополнительные параметры фильтрации можно во вкладке Дополнительно. Если снять галочку с подключения, брандмауэр для него будет отключен. Задать же правила в список исключений для определенного подключения можно, выбрав его и нажав на кнопку Параметры (рис. 7.41).

Здесь же настраивается журнал работы брандмауэра и задаются параметры фильтрации протокола ICMP.

Рис. 7.41. Параметры сетевого подключения

Если вы включите брандмауэр Windows, каждый раз, когда на компьютере будет запущено приложение, обращающееся к определенному порту, на экране будет появляться запрос о том, что следует сделать с данной программой: разрешить ей дальнейшую установку или блокировать ее. Если выбрать блокировку, приложение, которое пыталось открыть порт, будет заблокировано, так что подключиться из сети к этому приложению будет невозможно (в список исключений автоматически будет внесено правило блокировки этого приложения). При выборе пункта Разблокировать приложению будет разрешено открыть нужный порт, и в список исключений автоматически добавится правило, которое и впредь будет разрешать этому приложению открывать порт для входящих подключений. Выбор третьего пункта – Отложить – повлечет за собой запрет на открытие порта, но исключение создано не будет, поэтому в следующий раз, когда приложение попытается открыть порт, такой запрос появится на экране снова.

Встроенный в операционную систему Windows брандмауэр является достаточно надежным. Однако он контролирует только входящие соединения, при этом исходящие запросы не контролируются. Поэтому, если вы рассчитываете на этот брандмауэр, следует обращать внимание на то, какие файлы вы запускаете на своем компьютере, особенно если вы скачали их на сайте в Интернете – ведь вирусы и шпионские программы умеют отправлять данные на сервер разработчика, и имеющийся в Windows брандмауэр не сможет пресечь таких нарушений.

Кроме встроенного брандмауэра можно использовать межсетевые экраны сторонних производителей. В таком случае встроенный брандмауэр Windows следует отключить.

Наиболее известными программными межсетевыми экранами являются, пожалуй, Outpost Firewall, Kaspersky Internet Security, Comodo Personal Firewall, Jetico Personal Firewall и др.

Межсетевой экран Outpost Firewall Pro имеет довольно много возможностей. Это фильтрация входящих и исходящих соединений, создание правил для протоколов и портов, а также для приложений. В программе можно настроить политику блокировки, то есть задать реакцию программы на соединение, отсутствующее в правилах: либо запретить доступ, либо разрешить, либо выдать запрос на создание нового правила. Однако подобные функции есть и во встроенном брандмауэре Windows. Отличие от него Outpost Firewall Pro в том, что программа также может контролировать компоненты, скрытые процессы и их память, что позволяет устанавливать ограничения на сетевую активность для отдельных приложений и процессов. При этом определяются разрешенные входящие и исходящие соединения для конкретных приложений. Кроме того, в Outpost Firewall Pro присутствует защита от программ-шпионов и внутренняя защита от попыток остановить сервис. Также можно задать пароль на изменение конфигурации.

Outpost Firewall Pro поддерживает подключаемые модули: например, плагины, блокирующие интернет-рекламу по ключевым словам и типичным размерам баннеров, плагины, определяющие наличие атаки, плагины для фильтрации почтовых вложений и т. д.

Известный у нас в стране по одноименному продукту для защиты от вирусов, брандмауэр Kaspersky Internet Security может защитить не только от них, но и от хакерских атак и спама. Также приложение снабжено средствами защиты конфиденциальных данных и ограничения доступа к сайтам сомнительного содержания.

Kaspersky Internet Security имеет встроенную проверку по базам сигнатур, эвристический анализатор и блокиратор в зависимости от поведения приложения. Кроме того, как и другие подобные программы, Kaspersky Internet Security проверяет файлы, почту и интернет-трафик в режиме реального времени, устанавливает сетевой экран, предотвращает утечку конфиденциальной информации. В последней версии в программу была введена функция под названием Родительский контроль – с ее помощью можно запрещать вход на определенные сайты. Кроме прочего, в программе имеется средство для создания диска аварийного восстановления системы.

Брандмауэр Comodo Personal Firewall, несмотря на свой небольшой объем, является мощным средством для защиты компьютера от сетевых нападений, вирусов, троянов и хакерских атак. Программа имеет поддержку русского языка и обладает простым интерфейсом.

Приложение Comodo Personal Firewall содержит огромную базу правил для программ. Также программа может защитить компьютер от вредоносного программного обеспечения при старте и некорректном завершении работы системы. В программе также имеется журнал событий и журнал отчетов об использованном трафике с контролем активности приложений.