Домашняя сеть: безопасность со всех сторон
Про домашние сети уже было сказано очень много красивых слов, поэтому сразу переходим к делу.
омашняя сеть требует аккуратного и бережного к себе отношения. Она нуждается в защите от самых разных факторов, а именно:
- от хакеров и сетевых напастей, типа вирусов и нерадивых пользователей;
- атмосферных явлений и несовершенства бытовой электросети;
- человеческого фактора, то есть загребущих рук.
Хотя наш журнал и компьютерный, но в этой статье мы в основном будем говорить на некомпьютерные темы. Информационную защиту рассмотрим лишь в общем, без конкретики. А вот некоторые другие аспекты заслуживают внимания, и прежде всего потому, что о них редко вспоминают.
Итак, начнем разговор с известной темы…
Загребущие руки
повать на сознательность людей не стоит — красивое оборудование с мигающими лампочками неминуемо привлекает всех, кто способен его взять. В принципе, чтобы обезопасить домашнюю сеть, можно добиться того, что все оборудование будет размещено в квартирах пользователей, но иногда возникает необходимость использовать чердак или подобное помещение. Обычно там удобно ставить роутеры, хабы, репитеры и т.п. Поставить — это не проблема. Чаще всего администрация ЖЭКов и ДЭЗов идет навстречу и дает разрешение. Главная задача заключается в том, чтобы все это хорошенько спрятать. Поскольку автор тоже является пользователем домашней сети и участвовал в ее создании, поговорим о тех решениях, которые нам показались удобными. В нашем случае оказалось довольно эффективно использовать решетчатый ящик с замком, из которого наружу выходят провода. Использовать цельный ящик с малым числом окон не стоит, поскольку компьютеру там станет жарко, особенно летом. Согласитесь, решение простое и дешевое. Тем, кто скажет, что и ящик можно утащить, отвечу: в квартиру тоже несложно залезть. То же самое касается «тарелок». С хабами последнее время возникла другая проблема: там много лампочек, вот люди и принимают их за взрывные устройства. Остаются провода: их спрятать невозможно. Поэтому риск, что их обрежут, существует. Ведь некоторые и с высоковольток снимают. А вот следующая тема — это уже некоторая претензия на образованность тех, кто прокладывает сеть.
Электрическая безопасность
десь существует несколько аспектов. Первый — стабильная работа устройств, обеспечивающих функционирование сети. Для этого необходимо хорошее электроснабжение наших домов, что, к сожалению, не всегда возможно. Имеют место скачки и перепады напряжения, запросто может случиться авария или появится необходимость на время отключить электричество. Ото всего, конечно, не защитишься, да наверняка и сеть не настолько важна, чтобы перебои в ее работе имели какие-то фатальные последствия для пользователей. Тем не менее существуют приспособления, которые могут сгладить (в прямом и переносном смысле) проблему, — это сетевые фильтры. От отключения они не спасут, а вот от скачков напряжения — вполне. Вы можете несколько улучшить шансы стабильной работы, купив несколько таких фильтров, так как их цена невысока. Следующий этап — UPS, которые, конечно, дороже, но предоставляют новые возможности. Во-первых, можно пережить короткое (конкретный срок зависит от цены) отключение питания. Во-вторых, все та же защита от скачков напряжения. Но не надо забывать, что имеется два принципиально разных вида UPS: BACK и SMART. Первые умеют только поддерживать питание, пока есть запас в батарее. Вторые могут общаться с компьютером и выключить его, чтобы избежать сбоев при неожиданном отключении. Очевидно, что для обеспечения безопасности компьютеров, стоящих на чердаках, вкладывать деньги в BACK UPS бессмысленно. Чтобы эффективно его использовать, нужно сидеть рядом с ним и при необходимости все выключать. Применение SMART UPS встает в копеечку. Здесь надо думать, что для вас дороже: перебои и возможная утрата оборудования из-за резких отключений или сотни полторы долларов за один SMART UPS.
Второй аспект — взаимодействие с обычной электрической сетью. Эта проблема возникает, когда необходимо тянуть сетевые провода в непосредственной близости от силовых кабелей. В некоторых домах этого можно избежать. Там есть хитрые дырки и ходы, куда можно просунуть провода. В нашем доме, например, таких дырок нет, и тянули мы провода по стояку рядом с телефонной линией. Скажу честно — крайне неудобно. Тянули мы витой парой, а просунуть в маленькую дырочку больше пяти проводов, не оборвав телефонной линии, крайне сложно. тем не менее это возможно. В нашем случае оставалось надеяться, что наводок не будет. Можно, конечно, купить экранированную витую пару, но она вам пригодится только в том случае, когда сетевые и силовые провода будут идти вперемешку. Вообще-то, наводки — вещь не частая, так как слишком уж разные частоты передачи сигнала. Что еще связано с силовыми проводами — так это заземление. Вещь безусловно полезная, но в старых домах заземление просто отсутствует. В нашем доме вообще ситуация аномальная: в доме электроплиты, сеть трехфазная, есть рабочий ноль, но нет земли. В принципе, возможно заземление на батарею радиатора, если, конечно, никто, кроме вас, до этого не додумался. Вот в нашем доме уже кто-то что-то заземлил — теперь у меня в квартире напряжение между трубой отопления и земляным контактом около 120 В, что очень не слабо, смею вас уверить.
И третий аспект — воздушки, или междомовые соединения. Речь идет, конечно, о сетевых проводах. Поскольку расстояния обычно немаленькие, использование витой пары затруднительно (ее ограничение — 80 м). Поэтому обычно кидают коаксиальный провод, в котором второй канал является экраном для первого. Правда, на этом экране вообще индуцируется все что угодно. Особенно опасны грозы, когда может накапливаться действительно большой заряд. К чему это приводит, очевидно: заряд попадает в сетевую карточку компьютера, стоящего на чердаке, и с огромной вероятностью гробит ее или даже весь компьютер. Для защиты от этого существуют устройства, называемые протектами, которые устанавливаются на концах проводов. Однако они тоже не совершенны, и через них порой пробивает. Имеется еще так называемый магистральный коаксиал с дополнительным экраном, никак не связанным с данными, но этот провод стоит даже дороже обычной витой пары.
А теперь переходим к основной для сетевиков проблеме — информационной безопасности.
Информационная безопасность
а мой взгляд, это самый интересный вопрос, который, однако, будет подробно освещен в других статьях этого спецвыпуска.
При более-менее приличном количестве пользователей сеть имеет свой почтовый сервер, DNS, очень часто — собственную страничку. Таким образом, провайдеру остается только канал и общая статистика. Тип канала может быть любой — радио или оптоволокно, что не существенно. Существенно построение сети.
Первая проблема — это взаимоотношение пользователей. Пока вы объединяетесь с друзьями в одном доме — это еще ничего. Вы друг друга знаете, и, что называется, люди не случайные. Вы вместе играете по сети, обмениваетесь файлами, выкладываете на свои сетевые диски на всеобщее обозрение интересные программы и т.д. Когда же сеть расширяется, то появляются новые люди, новые интересы. Некоторые откровенно начинают проверять свои хакерские способности. Вы скажете, что это надо пресекать в корне, отключать пожизненно и т.д. и т.п. Все правильно — наказывать надо, но нужно уметь и отражать подобные атаки. Попросту вы должны быть готовы к тому, что кто-то и изнутри может подложить свинью. Иногда это случается не по вине пользователя, точнее, не по прямой его вине (может, у него появился вирус, который портит жизнь соседям), но в любом случае возможность такой ситуации нельзя не учитывать.
Вторая проблема — это руководство, то есть «админы». Хотя сеть и простая, админы должны быть. При этом не стоит думать, что это может быть любой человек, хоть немного понимающий в UNIX. Это серьезная работа, которую нужно выполнять: следить за сетью, быстро реагировать на неисправности. Ну и, конечно, нужно разбираться в администрировании: уметь грамотно наладить шлюз, firewall, организовать статистику, почту и, может быть, что-то еще. Все это должно работать стабильно и быстро. Плюс к тому у руководства сети появляется и финансовая ответственность. Им платят деньги за работу сети. И логично, что люди рассчитывают получить за эти деньги нормальную качественную связь. Ситуация особенно обостряется, когда пользователей становится много. Не все могут с пониманием отнестись к тому, что админов, скажем, три, пользователей 150, а авария вообще у внешнего провайдера.
Третья проблема — это статистика. Организовать ее несложно. Программ, осуществляющих биллинг, то есть работу со счетами, а в нашем случае — учет трафика, довольно много. Установить такую программу, разобраться с ее работой и начать считать каждый байт — дело нехитрое. Нужно только не забывать делать резервные копии. Желательно каждый день. хорошо бы делать такие копии со всех материалов и файлов, являющихся достоянием всей сети, однако особенно важной представляется информация о пользователях и их статистика.
И наконец, непосредственно информация. Во-первых — это шлюз. Надо сконфигурировать на нем firewall так, чтобы сеть была реально безопасной. Для этого нужно пропускать только свои пакеты, проверять, что происходит внутри сети, естественно, следить за попытками вторжения и постоянно обновлять систему. Во-вторых — это почта. Хорошо бы проверять почту на наличие вирусов сразу по ее приходу на почтовый сервер сети. Это может избавить от многих хлопот в дальнейшем. Если пользователи невнимательные и настройки их браузеров позволяют вирусам проникать в компьютер, то такая проверка обезопасит как самих этих пользователей, так и их соседей — если вирус сам распространяется по сети. В-третьих — это возможности пользователей. Нужно разрешать только то, что необходимо. Я имею в виду сетевые порты. Чем меньше их открыто, тем проще следить за происходящим в сети. Если открыты игровые порты или еще какие-либо нерабочие, то разумно делать их доступными только внутри сети.
С этой проблемой тесно связана проблема создания пользователями собственных ресурсов, например Web-серверов. Кажется логичным, что пользователь может поднять свой сервер на собственном компьютере. Однако тем самым создаются новые возможности для неугомонных хакеров. Нужно ли вам это? Может быть. Но в этом случае вы как администратор должны либо следить за компьютером этого пользователя, либо доверять опыту поднявшего свой сервер абонента.
Вот, пожалуй, и все, к чему хотелось привлечь ваше внимание. Нужно подчеркнуть еще раз, что сеть, в том числе и домашняя, — это не только компьютеры, порты и хакеры. Это еще, банальные сложности в отношениях с людьми, проблема сохранности оборудования, физическая и электрическая безопасность. Многие об этом не задумываются, так как просто привыкли видеть уже готовую инфраструктуру в офисе или где-либо еще, хотя уже при создании домашней сети начинают возникать вопросы. То, о чем здесь рассказано, частично имело место и при создании сети в нашем районе. Поэтому многие вопросы хорошо знакомы автору. Возможно, это попытка предостеречь других от ошибок, которые мы сами допустили или которых нам удалось избежать благодаря «старшим товарищам», уже имевшим определенный опыт.
КомпьютерПресс 3'2002