Pages:
Author

Topic: Сетевая безопасность для новичков - page 5. (Read 18832 times)

l_w
member
Activity: 630
Merit: 60
А можете порекомендовать программу, которая будет всё это и другое связанное будет отслеживать и защищать комп от чего-то несанкционированного? (помимо фаерволов)
Боюсь, что все не так просто, как вам кажется.
Выполнение рекомендаций + ваши осознанные действия за рабочим компом значительно повысят уровень вашей безопасности.
Следите за новыми статьями в топике.
newbie
Activity: 51
Merit: 0
А можете порекомендовать программу, которая будет всё это и другое связанное будет отслеживать и защищать комп от чего-то несанкционированного? (помимо фаерволов)
l_w
member
Activity: 630
Merit: 60
Повышаем безопасность домашней Wi-Fi сети
...
1. Первое и на мой взгляд самое важное - Выключаем протокол WPS
WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.

!!!на стендах для пентестинга взлом роутера с WPS занимал от 3 минут до 3 дней

если взломают ваш роутер и попадут в локальную сеть дело останется за малым

Воспользовался советом. Думаю, что стоит уточнить, что после выключения WPS нужно поменять пароль на Wi-Fi, т. к. кто его уже узнал будет продолжать пользоваться.

Благодарю. Правки внес.
jr. member
Activity: 63
Merit: 1
Повышаем безопасность домашней Wi-Fi сети
...
1. Первое и на мой взгляд самое важное - Выключаем протокол WPS
WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.

!!!на стендах для пентестинга взлом роутера с WPS занимал от 3 минут до 3 дней

если взломают ваш роутер и попадут в локальную сеть дело останется за малым

Воспользовался советом. Думаю, что стоит уточнить, что после выключения WPS нужно поменять пароль на Wi-Fi, т. к. кто его уже узнал будет продолжать пользоваться.

...
4. Настраиваем фильтр доступа по MAC адресам(прописываем МАКи только тех устройств с которых мы будем работать).

Не, не прокатит. Начинаются жуткие тормоза в трафике сети.
l_w
member
Activity: 630
Merit: 60

благодарю за правку. указал один для примера. добавлю в статью

Я имел ввиду не наличие двух адресов, а наличие двух разных компаний, предоставляющих публичные днс (взять, например восьмерки от гугла, а в качестве второго днс вписать паблик от яндекса).

И еще можете добавить в статью информацию про dnscrypt. И, кстати, команда яндекс-браузера вроде собиралась интегрировать эту технологию в свой браузер, чтобы ей могли пользоваться даже "среднестатистические" граждане - может у них все уже готово (и если да, то об этом тоже стоит написать).

Яндекс не стал добавлять по личным(религиозным) соображениям Smiley
Добавляйте совю инфу, пишите статьи. Данный топик не подразумевает единоличное написание статей.
jr. member
Activity: 63
Merit: 1

благодарю за правку. указал один для примера. добавлю в статью

Я имел ввиду не наличие двух адресов, а наличие двух разных компаний, предоставляющих публичные днс (взять, например восьмерки от гугла, а в качестве второго днс вписать паблик от яндекса).

И еще можете добавить в статью информацию про dnscrypt. И, кстати, команда яндекс-браузера вроде собиралась интегрировать эту технологию в свой браузер, чтобы ей могли пользоваться даже "среднестатистические" граждане - может у них все уже готово (и если да, то об этом тоже стоит написать).
l_w
member
Activity: 630
Merit: 60
Повышаем безопасность домашней Wi-Fi сети

данный пример относится к роутерам SOHO(Small office/home office) сегмента и никак не касается корпоративной безопасности

Здесь я коротко опишу несколько простых шагов которые повысят устойчивость к взлому вашей домашней Wi-Fi сети

1. Первое и на мой взгляд самое важное - Выключаем протокол WPS(после чего, в обязательном порядке меняем пароль доступа к сети, т к он УЖЕ МОЖЕТ НАХОДИТЬСЯ В РУКАХ ЗЛОУМЫШЛЕННИКОВ)
WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.

!!!на стендах для пентестинга взлом роутера с WPS занимал от 3 минут до 3 дней

если взломают ваш роутер и попадут в локальную сеть дело останется за малым

2. Выбираем протокол шифрования wpa2 и форсируем пароль (символы верхнего и нижнего регистра, спецсимволы) никаких номеров телефона, распространенных слов на русском языке в английской раскладке и тд

3. Отключаем удаленную админку если она включена по умолчанию

4. Настраиваем фильтр доступа по MAC адресам(прописываем МАКи только тех устройств с которых мы будем работать).

Приведенные выше рекомендации не гарантирут 100% защиты но уже значительно обезопасят вас от любопытных соседей и их детей считающих себя крутыми хакерами)
при желании можно еще скрыть SSID в настройках роутера

Надеюсь кому нибудь данная информация окажется полезной.


Что касается защиты на мобильных устройствах? Насколько безопасно ими пользоваться и куда лучше не соваться?
Тут надо разделять способы выхода в интернет, wi-fi и мобильный интернет. Первый на мой взгляд более уязвим, поскольку такой трафик легче перехватить. Особенно плохая идея использовать для важных дел бесплатные точки доступа. Их владельцы в принципе могут видеть весь ваш трафик. А так в целом правила те же что и для компьютера, смотреть на доменное имя сайта который открылся, смотреть на сертификаты, если используется https протокол. Хотя надо понимать, что сертификат тоже не дает 100% гарантии подлинности сайта.

Поддерживаю.

Не стоит использовать только гугловский днс (как и вообще любой один(!) днс), т.к. при использовании только его, доступ в сеть может периодически пропадать. В качестве второго можно использовать днс  от яндекса, например. В этом случае доступ к сети будет, даже при неполадках у одного из поставщиков услуг)

благодарю за правку. указал один для примера. добавлю в статью
jr. member
Activity: 63
Merit: 1
Не стоит использовать только гугловский днс (как и вообще любой один(!) днс), т.к. при использовании только его, доступ в сеть может периодически пропадать. В качестве второго можно использовать днс  от яндекса, например. В этом случае доступ к сети будет, даже при неполадках у одного из поставщиков услуг)
member
Activity: 266
Merit: 59
Что касается защиты на мобильных устройствах? Насколько безопасно ими пользоваться и куда лучше не соваться?
Тут надо разделять способы выхода в интернет, wi-fi и мобильный интернет. Первый на мой взгляд более уязвим, поскольку такой трафик легче перехватить. Особенно плохая идея использовать для важных дел бесплатные точки доступа. Их владельцы в принципе могут видеть весь ваш трафик. А так в целом правила те же что и для компьютера, смотреть на доменное имя сайта который открылся, смотреть на сертификаты, если используется https протокол. Хотя надо понимать, что сертификат тоже не дает 100% гарантии подлинности сайта.
jr. member
Activity: 30
Merit: 1
Что касается защиты на мобильных устройствах? Насколько безопасно ими пользоваться и куда лучше не соваться?
newbie
Activity: 48
Merit: 0
спасибо. нужно будет все проверить. хотя к моему компу кроме меня никто не подходит, но все-же
newbie
Activity: 17
Merit: 1
Не забудьте проверку файла hosts на предмет отсутствия лишних записей. Smiley
Хоть и старо, но актуально.
jr. member
Activity: 41
Merit: 6
Если топик получит отклик - буду развивать и выкладывать новую инфу.
Спасибо за внимание.
Ну, это всяко будет полезнее 90% появляющихся тут тем, продолжайте, конечно!
l_w
member
Activity: 630
Merit: 60
Напиши про подмену SSL сертификатов сайта провайдером интернета

Хорошо, но все по порядку. Пишите свои вопросы и пожелания, попробую ответить насколько хватит опыта.
Добавляйте свои статьи, рекомендации. Данный топик не предусматривает написания статей лишь мной и я буду рад видеть здесь любую конструктивную информацию посвященную сетевой безопасности.
newbie
Activity: 18
Merit: 0
Напиши про подмену SSL сертификатов сайта провайдером интернета
l_w
member
Activity: 630
Merit: 60
что нибудь полезное

reserved
l_w
member
Activity: 630
Merit: 60
Наблюдая по форуму множество разношерстных тем, посвященных безопасности на стороне клиента попробую объединить основные моменты отдельным топиком.

В первом посте мы рассмотрим безопасность DNS на стороне клиента. Итак. Поехали!

Некоторые вирусы(или шаловливые руки техников, что смотрели ваш комп) меняют настройку протокола TCP/IP в OS Windows дописывая туда левый DNS

Для чего это делается?

Чтобы ничего не подозревающий пользователь введя(правильно введя) необходимое имя сайта в адресной строке браузера попал на фейковый ресурс и слил свои данные.

Пример рассматривается для операционной системы Windows и типовой домашней (офисной) связки роутер - компьютер

Рекомендации:

смотрим свойства TCP/IP соединения, в свойствах DNS должен стоять автоматически ну или гугловские (8.8.8.8, 8.8.4.4 ) так же проверяем во вкладке дополнительно DNS не прописано ли там чего то еще
если стоит неизвестная и неведомая вам хрень - ставьте настройку на автомат, если в этом случае интернет перестает работать, прописываем гугловский DNS 8.8.8.8, 8.8.4.4

Еще один способ узнать не попали ли мы на фишинговый сайт:

для следующих манипуляций мы должны знать IP адреса оригинального сайта
Для Windows - Пуск, выполнить, вводим команду CMD, откроется командная строка. В командной строке вводим команду nslookup и имя сайта который мы хотим проверить
пример nslookup binance.com
смотрим результат работы команды, команда выдает IP адреса сервера что мы проверяем
сравниваем их с оригинальными. Совпало - сайт оригинальный и тот что нам нужен. Не совпало - первым делом смотрим настройки DNS системы как я описал в начале поста, вторым настройки роутера (не прописаны ли там сомнительные DNS сервера) и если везде все в порядке - читаем новости на предмет атаки на DNS ну или на предмет добавления еще одного диапазона IP к данному(проверяемому) сервису.

P.S. если некий IP адрес вызвал ваши подозрения идем по ссылке https://www.nic.ru/whois/ вбиваем необходимый нам IP и смотрим по нему информацию

Дополнительно рекомендую ознакомиться с постом камрада
DarkNightRider о безопасности DNS вашего роутера
https://bitcointalksearch.org/topic/--2944516

Если топик получит отклик - буду развивать и выкладывать новую инфу.
Спасибо за внимание.
Pages:
Jump to: