Наверх
Это запись из блога автора mgb
Мнение редакции сайта Keddr.com может не совпадать с мнением данной публикации.
Читать правила написания блогов
9 комментариев 11/12/2013

Как стать параноиком: первые шаги

Как стать параноиком: первые шаги
mgb

Странное желание, не правда ли? Но не торопитесь с выводами, возможно, дальше вы измените своё мнение. Итак, сейчас практически каждый, не зависимо от образования или возраста, так или иначе сталкивается с сетью. Это может быть один домашний компьютер, домашняя сеть, рабочий компьютер в офисе и так далее. Кто-то активно живет киберсоциальной жизнью, выкладывая о себе правду и неправду в соцсетях. Я не буду убеждать не выкладывать в сеть всю информацию о себе, это – дело каждого, я хочу дать несколько советов, как, по возможности, защититься от разного рода недо-“хакеров”, а также на что обратить внимание в первую очередь, чтобы защитить свои персональные данные, учётные записи, личные фотографии и другую информацию.

1. Имеем подключенный компьютер к интернету напрямую, без роутера

Скажу сразу, не самая лучшая ситуация. Я бы даже один домашний компьютер подключал через роутер для выхода в интернет. Всё-таки, это – дополнительная защита при правильной настройке.  В зависимости от технологии подключения и степени серьёзности в этом вопросе провайдера вас могут видеть другие абоненты провайдера, подключенные к одному и тому же коммутатору, а то и ко всей сети. Таким образом, другие могут видеть вашу общедоступную медиатеку, имя вашего компьютера, папки и принтеры, если к ним предоставлен общий доступ.

Например, вот так:

lanspy

Или в идеале даже так:

lanspy2

Чтобы обезопасить свой персональный компьютер, подключенный напрямую к сети, дам несколько советов по настройке Windows, другие системы пока не рассматриваем.

  • Можно, конечно, купить и установить какой-нибудь антивирус с встроенным Firewall, но это – дополнительные затраты, да и можно решить вопрос проще и надежней.
  • В настройках сетевого подключения необходимо удалить всё, что не требуется для работы в интернет. А именно: клиент для сетей Microsoft, QoS, службу доступа к файлам и принтерам … В итоге должен остаться только “Протокол интернета TCP/IPv4” (можно ещё TCP/IPv6).
  • Затем открываем раздел “Администрирование” в “Панели управления”. Запускаем “Локальные политики безопасности”. Тут много интересного, начиная от правил ведения и установки паролей в системе и заканчивая политиками аудита и сетевого взаимодействия. Надеюсь, не надо объяснять, что пароль для Вашей учётной записи пользователя (а обычно – по совместительству и администратора системы) должен иметь место быть, и желательно длиной не менее 8 символов. В серверных версиях Windows это сразу задаётся в политиках безопасности, в десктопных по умолчанию – нет. Тут на нашей совести: либо просто использовать сложные пароли и периодически менять их, либо установить в политиках минимальную длину и сложность, а также срок смены пароля – тогда система не даст филонить.
  • Раздел “Локальные политики”=>”Параметры безопасности”. Тут много опций, перечислю наиболее интересные и значения, которые надо установить:
    Доступ к сети: разрешить трансляцию анонимного SID в имя – [Отключен]
    Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам –  [Включен]
    Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями –  [Включен]
    Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями – [Включен]
    Сетевой доступ: удаленно доступные пути и вложенные пути реестра – [Пусто]
    Сетевой доступ: пути в реестре доступны через удаленное подключение – [Пусто]
    При открытии каждой политики можно в объяснениях прочитать описание по значениям. В зависимости от степени паранойи можно редактировать и другие опции.
  • Далее запускаем “Службы” в разделе “Администрирование” и отключаем службы, которые не будут важны для работы в интернете:
    – Автоматическая настройка сетевых устройств
    – Браузер компьютеров
    – Маршрутизация и удаленный доступ
    – Модуль поддержки NetBIOS через TCP/IP
    – Обнаружение SSDP
    – Общий доступ к подключению к Интернету (ICS)
    – Сервер
    – Служба общего доступа к портам Net.Tcp
    – Служба общих сетевых ресурсов проигрывателя Windows Media
    – Удаленный реестр

После проделанных манипуляций наш PC, конечно, не превратится в “чёрный ящик”, но, тем не менее, будет более защищён от атак извне. И при сканирование будет приблизительно такая картина:

lanspy_last

2. Доступ в интернет организован через роутер.

При таком варианте сложно атаковать компьютер, но надо уделить должное внимание настройке роутера. В качестве примера буду приводить скрины от роутеров TP-Link (одни из самых доступных и популярных).

Итак, известно, что при подключении компьютера к роутеру по WI-FI или Ethernet, настройки выдаются автоматически по протоколу DHCP. Взломав wi-fi сеть, ваш сосед сверху/снизу либо кто-то в машине возле вашего дома и так далее, насколько фантазии хватит, получит автоматически настройки и доступ в вашу домашнюю сеть, а также выход в интернет. Эту задачу можно усложнить, если отказаться от DHCP и вводить настройки вручную, т.е. прописывать ip-адрес, маску, шлюз и DNS вручную. Также можно изменить локальный адрес роутера на нестандартное значение, например, на 192.168.87.99 – этот ip будет шлюзом и dns для всех.

sp_3

sp_6

Пароль и логин на вход в роутер также желательно изменить на другой.

Настройки WPS – опция, которая упрощает настройку и подключения к wi-fi сети, также часто является объектом атаки. Существуют уже готовые утилиты для перебора и взлома WPS кода. Это актуально не для всех моделей роутеров, но в случае простых 8-ми значных кодов – довольно успешно. Поэтому лучше научиться настраивать роутер самостоятельно, не полагаясь на автоматику, и отключить службу WPS, а пароль на wi-fi сеть задать вручную.

sp_1

Выбирать его желательно достаточно длинным и сложным.

sp_2

Если не предполагается использовать PPTP, L2TP, IPSec для подключения к корпоративной сети или для других целей, то лучше заблокировать создание VPN туннелей через роутер. А то вдруг какой-то троян будет устанавливать соединение по vpn туннелю для создания подключения к ботнет сети?

sp_4

Желательно включить защиту от DoS атак. А также игнорировать пинги на wan порт. Это поможет сразу исключить ваш роутер из объекта атаки при простом переборе сетей на предмет ответа по ping.

sp_5

Также можно ограничить количество работающих устройств через роутер путем привязки по MAC адресам.

Отдельного внимания требует служба UPnP

В некоторых роутерах она по-умолчанию выключена, в других – включена, я обычно оставляю включенной, но надо в первую очередь понимать, что, подключая какое-нибудь “умное” устройство, поддерживающее протокол UPnP, можно попасть в ситуацию, при которой ваше устройство будет без вашего ведома доступно из интернета.

Самый понятный пример – это видеонаблюдение. Многие устанавливают в офисах, магазинах, домах доступное по цене и достаточно простое в установке оборудование, к примеру, одного китайского производителя с неприличным названием Dahua Security.  Подключая подобный видеорегистратор к роутеру и не меняя стандарный пароль admin/admin, вы практически даёте возможность любому желающему просматривать ваши камеры наблюдения. Благодаря службе UPnP регистратор сообщит роутеру о своём присутствии и откроет порт 37777 извне для подключения к регистратору через специализированные утилиты для видеонаблюдения (iDMSS Lite). Путем небольшого эксперимента, просканировав 1024 ip-адреса на предмет открытого 37777 порта, было найдено 13 хостов. К 7-ми регистраторам я без труда подключился по admin/admin.

Итак, кто считает, что моя параноя небеспочвенна, записывайтесь в ряды начинающих параноиков и начинайте относиться серьёзней к настройке своего домашнего оборудования!

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

9 комментариев

по хронологии
по рейтингу сначала новые по хронологии
1

Замечательная статья. Но желательно всё-таки знать значение служб и сервисов, которые вы отключаете и к каким последствиям в будущем это может привести. Например, при расширении сети и добавлении новых сетевых устройств. Сюрпризы обеспечены ))

Автор2

Просто описание всех служб сетевых займет очень много, интересующиеся могут найти эту информацию без труда. Я же говорю об отключении всех этих сетевых служб именно при условии подключения отдельно стоящего PC к интернету напрямую. Если надо интегрировать в домашнюю сеть - то лучше поставить роутер и за ним строить внутреннюю сеть с включенными службами доступа к файлам и принтерам и т.п.

3
Михаил Кириллов

Ну такэ... Самая большая опасность - иллюзия безопасности.

на 192.168.87.99 – этот ip будет шлюзом и dns для всех.

Яб ещё и ДНС использовал внешний. Например яндекса, с дополнительной защитой от фишинга.

77.88.8.8 - без фильтрации

77.88.8.88 - фильтрация опасных сайтов

77.88.8.7 - фильтрация опасных сайтов и сайтов для взрослых

Ну и не для параноика это, а просто - элементарные правила гигиены.

4

Жаль, что нет возможности блокировать рекламу на уровне роутера, чтобы допустим при заходе через домашний роутер в интернет с любого устройства её не было. Эдакий adblock на роутере, было бы замечательно.

5
Дмитрий

на кастомных прошивках openWRT/ddWRT вроде как возможно настроить блэк лист для сайтов по предоставлению баннеров

6
андрей

Автор, как с тобой саязаться?

Автор7

Зачем ? Пиши в комментах

8
андрей

У меня в разделе «Администрирование» (Administrative tools) вообще нету "Локальные политики безопасности". И много чего еще. Это из за Windows 7 Home Premium SP1? Поэтому хочу написать на почту, т.к. камментов не хватит) Если можешь, помоги.

Автор9

Да. Это из-за Home Premium. Тут немного все сложнее будет, надо через реест лезть. Но и понимать что делать.

Вот тут как раз об этом http://social.technet.microsoft.com/Forums/en-US/655dc768-d09a-4a25-9086-a78f90a581c3/win7-home-premium-

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

Modal box

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: