По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Маршрутизаторы от производителя Mikrotik приобретают все большую популярность благодаря привлекательной цене и богатому функционалу. Пожалуй, в SOHO сегмента Mikrotik является лидером. Сегодня хотим рассказать о полезных опциях настройки, которые помогут укрепить устойчивость к внешним атакам и обеспечить стабильную работу для вашего офисного Mikrotik.
Защита Mikrotik
1. Смена логина и пароля администратора
Начнем с первичной защиты нашего маршрутизатора – созданию стойкого к взломам логина и пароля администратора. По умолчанию, в Mikrotik используется логин admin и пустой пароль. Давайте исправим это: подключаемся через Winbox к нашему маршрутизатору и переходим в раздел настройки System → Users. Видим пользователя admin, который настроен по умолчанию:
Добавим нового пользователя, который будет обладать более строгими к взлому реквизитами (логин/пароль). Для этого, нажмите на значок «+» в левом верхнем углу:
Обратите внимание, в поле Group необходимо выбрать full, чтобы предоставить администраторские привилегии для пользователя. После произведенных настроек удаляем пользователя admin и отныне используем только нового пользователя для подключения к интерфейса администрирования.
2. Сервисные порты
В маршрутизаторе Микротик «зашиты» некоторые службы, порты которых доступны для доступа из публичной сети интернет. Потенциально, это уязвимость для Вашего сетевого контура. Поэтому, мы предлагаем перейти в раздел настройки IP → Services:
Если вы используете доступ к Mikrotik только по Winbox, то мы предлагаем Вам отключить все сервисы, за исключением winbox и ssh (на всякий случай оставить ssh), а именно:
api
api-ssl
ftp
www
www-ssl
Для отключения нажмите красный значок «х». Так как мы оставили SSH доступ к серверу, давайте «засекьюрим» его, сменив порт с 22 на 6022. Для этого, дважды нажмите на сервисный порт SSH и в открывшемся окне укажите настройку:
Нажимаем Apply и ОК.
3. Защита от брут – форса (перебора)
На официальном сайте Mikrotik существуют рекомендации о том, как защитить свой маршрутизатор от перебора паролей по FTP и SSH доступу. В предыдущем шаге мы закрыли FTP доступ, поэтому, если Вы строго следуете по данной инструкции, то используйте только код для защиты от SSH – атак. В противном случае, скопируйте оба. Итак, открываем терминал управления маршрутизатором. Для этого, в правом меню навигации нажмите New Terminal. Последовательно скопируйте указанный ниже код в консоль роутера:
/ip firewall filter
#Блокируем атаки по FTP
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop
comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect"
address-list=ftp_blacklist address-list-timeout=3h
#Блокируем атаки по SSH
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop
comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist
address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3
address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
Создание резервной копии конфигурации
На случай выхода из строя или аварии роутера, необходимо иметь под рукой его конфиг для оперативного восстановления. Сделать его крайне просто: открываем терминал, нажав в меню навигации New Terminal и указываем следующую команду:
export file=backup echo date("Y-m-d_H:i:s")
Файл можно обнаружить нажав в меню навигации на раздел Files. Скачайте его себе на ПК, нажав правой кнопкой мыши и выбрав Download
Блокировка доступа к сайта
В рабочее время сотрудники должны работать. Поэтому, давайте заблокируем доступ к развлекательным ресурсам, таким как Youtube, Facebook и Вконтакте. Для этого, перейдите в раздел IP → Firewall. Нажимаем на вкладку Layer 7 Protocol и затем нажимаем на значок «+» в левом верхнем углу:
Даем имя нашему правилу, которое будет оперировать на 7 уровне модели OSI, а в разделе Regexp добавляем:
^.+(youtube.com|facebook.com|vk.com).*$
Нажимаем OK и переходим к вкладке Filter Rules и нажимаем значок «+»:
В разделе Chain выбираем Forward. Переходим в том же окне во вкладку Advanced и в поле Layer 7 Protocol выбираем созданное нами правило блокировки:
Переходим во вкладку Action, и там выбираем Action = Drop:
По окончанию настроек нажимаем Apply и OK.
Облако предлагает различные услуги, основанные на том, что требуется пользователю или компании. Его самое основное использование - хранилище, как видно из Google Drive, Dropbox и т. д., но его дизайн также означает, что технология может стать удивительно сложной, чем больше вы в нее углубляетесь.
Доступность по запросу
Облачные сервисы имеют множество обличий и непонятных аббревиатур. Вот десять наиболее популярных облачных сервисов и их значение.
BAAS
Быстрорастущий облачный сервис, благодаря более низкой стоимости хранилища. Например, теперь компания может создавать резервные копии всех своих систем на BAAS поставщика облачных услуг. Это безопасно, и если офис будет разрушен в результате всепоглощающего пожара, данные все еще будут в безопасности в удаленном месте.
DAAS
Сервис позволяет работнику использовать основной рабочий стол с любого устройства в любой точке мира. Это виртуализация рабочего стола, когда ваш рабочий стол Windows, Mac или Linux доступен через облако, а также все ваши значки, работа, ярлыки и т. д.
CAAS
Облачное решение для телекоммуникаций, обмена сообщениями и видеоконференций, которое использует план мобильных телефонов компании с облачной интеграцией с ресурсами компании. Skype - еще одна услуга удаленного видеовызова, равно как Facebook и Twitter.
DBAAS
Сервис оставляет администрирование базы данных компании поставщику облачных услуг. Поэтому работники могут сосредоточиться на использовании базы данных, в то время как компании могут сократить накладные расходы администратора БД.
HAAS
Отличается от других облачных решений, позволяя компании арендовать все свое оборудование у поставщика. Компьютеры, принтеры, телефоны, планшеты и т. д. находятся в аренде у поставщика.
PAAS
Комбинация как аппаратного, так и программного обеспечения. Этот сервис предлагает разработчикам платформу для кодирования и тестирования их программного обеспечения на различных моделях оборудования и операционных систем.
IDAAS
Облачная служба идентификации и управления пользователями, которая обеспечивает безопасный доступ к ресурсам, как виртуальным, так и физическим, на различных уровнях безопасности. Например, программное обеспечение для считывания отпечатков пальцев и доступ к обнаружению диафрагмы обрабатываются с помощью IDEAS.
SAAS
Сервис охватывает такие сайты, как Gmail, YouTube и даже Netflix. Это дает доступ к полному сервису, размещенному в облаке, где компании нужно либо заполнить его, либо заплатить за то, что они хотят. По сути, это вся облачная настройка под одним названием.
IAAS
Сервер охватывает серверы и сети в облаке. Компания может располагать всей или частью своей базовой сети на основе облака, предлагая разные ресурсы разным пользователям.
STAAS
Место, где покупают облачное хранилище. Например, компания может предоставить STASS всем своим работникам, предоставляя им доступ к облачному хранилищу, в отличие от внутреннего хранилища компании. Google Drive и Dropbox - примеры STASS.
Безопасность личных данных стоит почти наравне с физической безопасностью людей. Развитие Интернет технологий создало возможность мгновенного доступа ко всей информации не выходя из дома. Государственные организации создают электронный порталы, где можно получить любую информацию о себе. Финансовые организации оказывают онлайн услуги клиентам в виде интернет-банкинга.
Публичные сети же сделали все это более доступным. Сидя в любом кафе можем проверить свой банковский счет, получить нужную справку в электронном формате, занять онлайн очередь в разных структурах. Но зачастую подключаясь к открытым, бесплатным беспроводным сетям мы даже не задумываемся, а на самом ли деле на том конце стоит маршрутизатор и наши данные не попадают в руки тех, кто не должен их видеть.
В публичных сетях много угроз, одной из которых является атака MITM Man-in-the-Middle "Человек посередине" или атака посредника. Вкратце это такой тип атаки когда хакеры, подключившись к точке доступа, могут поместить себя в качестве посредника между двумя пользователями, у которых нет протоколов взаимной аутентификации. Как только злоумышленники полностью завладевают соединением, они могут читать и даже изменять любую передаваемую информацию. Опытные хакеры могут даже извлечь из потока данных информацию о вашей банковской карте. Последствия утраты таких данных очевидны. Такой вид атаки легче организовать в беспроводных сетях, хотя и проводные сети не застрахованы от этой атаки.
Но в проводных сетях можно настроить сетевые устройства таким образом, чтобы она реагировала на смену связки IP и MAC-адреса и при обнаружении заблокировать доступ к сети подозрительному устройству.
В проводных же сетях, особенно если это публичные сети, всё немного сложнее. Поэтому пользователям придется самим позаботиться о безопасности своих личных данных.
Приготовиться к атаке!
Чтобы не стать жертвой атаки типа MITM, нужно знать всего несколько правил безопасности.
Первое правило - Firewall
Во-первых, включите на своём устройстве межсетевой экран. В системе Windows это Windows Defender Firewall. Он по умолчанию включён, если у вас не установлено стороннее ПО, выполняющее ту же функцию. Проверить и включить Firewall можно на панели управления перейдя по одноимённому пункту меню и выбрав Включить/выключить Windows Defender Firewall:
Это защитит ваш компьютер от вторжения злоумышленника и кражи ваших электронных данных. Также не помещает установить какой-нибудь антивирус, даже бесплатный, который способен защитить ваше устройство от заражения сетевым червем, который тоже занимается кражей данных и не только.
Никакого HTTP!
Во-вторых, в публичных сетях лучше избегать пользования услугами онлайн-банкинга. Но если есть сильная необходимость, то убедитесь, что ваш банк обеспечивает шифрованное соединение между вами и сервером. Проверить это легко. При шифрованном соединении в строке браузера перед адресом отображается значок замка, а перед адресом сайта отображается https://. HTTPS это защищенный протокол передачи данных в сети.
Hypertext Transfer Protocol основной протокол связи в интернете. Когда пользователь вводит адрес в строке браузера, последний создает соединение с веб-сервером по этому протоколу. Позже была разработана защищенная версия данного протокола, которая отправляет данные поверх SSL или TLS.
Такое соединение позволяет шифровать данные перед отправкой на сервер. Шифрование происходит на устройстве пользователя методом асимметричного шифрования с помощью публичного ключа, который сайт отправляет вам вместе с сертификатом. Посмотреть сертификат сайта и публичный ключ можно в том же браузере. В Google Chrome кликаем на значок замка и выбираем Certificate. В открывшемся окне можно увидеть всю информацию о сертификате включая срок действия и подписавшую сертификат центра сертификации.
Расшифровать данные сможет только веб-сервер где имеется вторая приватная часть ключа шифрования. И даже если ваши зашифрованные данные попадут в руки злоумышленников, расшифровать их им придется долго.
Правда, атака посредника имеет несколько векторов развития и при наличии необходимых навыков злоумышленник может получить доступ даже к шифрованной информации. Например, он может взломать сервера центра сертификации и заполучить все ключи, которые выданы клиентам. Но это уже больше забота самих центров сертификации.
Некоторые сайты имеют две версии, защищенную и обычную через http-протокол. Чтобы всегда пользоваться только защищенным соединением, можете устанавливать специальные расширения для браузеров.
Шифрование через VPN
В-третьих, при подключении к публичным сетям рекомендуется пользоваться VPN сервисами. VPN сервисы создают защищенный туннель между вами и серверами поставщика VPN услуг. Все данные в таком туннеле тоже шифруются надежными алгоритмами шифрования. Услуги VPN предоставляют даже некоторые браузеры, например Opera или Яндекс.Браузер. Так же есть специальные расширения для браузеров и настольные приложения. Правда, при работе через VPN скорость ощутимо падает, но безопасность данных того стоит.
Кстати, о том, что такое VPN и как он обходит блокировки можно почитать в нашей статье
Ну а напоследок, просто быть повнимательнее. Не нужно подключаться к первой попавшейся беспроводной сети с подозрительным названием. Если вы сидите в кафе, то название точки доступа обычно совпадает с названием объекта. Правда, подмену SSID никто не отменял, но для этого нужно вырубить роутер, безопасность которого забота сотрудников ИТ отдела данного объекта.
Безопасного интернет-серфинга!