5 способів зберегти вашу мережу в безпеці

Захистити малий бізнес не так просто, як підключити програмне забезпечення для захисту кінцевих точок. Ви хочете ретельно дослідити кожен пристрій, підключений до вашої мережі, щоб переконатися, що ніяких сторонніх з'єднань не було зроблено, жодних точок входу не було викрито, і ніякого збитку не було.

Перш ніж сканувати мережу, створіть резервну копію даних на випадок, якщо виявите вразливість і вам потрібно повернутися до попередніх копій мережевого програмного забезпечення. Якщо ви серйозно переживаєте, що ви можете виявити під час сканування, ви можете вибрати інструмент відновлення після аварій (DR) у випадку, якщо ваша система пошкодиться.

Я спілкувався з Лівіу Арсеном, старшим аналітиком електронних загроз Bitdefender, про те, на що слід звернути увагу при скануванні мережі та що потрібно зробити для того, щоб ви не були вразливими в будь-якій точці входу.

1 1. Проведіть сканування вразливості

Інструменти сканування мережевої безпеки, навіть безкоштовні та недорогі, допоможуть вам добре побачити всі пристрої, підключені до вашої мережі. Ці інструменти виконують сканування таких продуктів, як ПК, маршрутизатори, сервери, брандмауері, мережеві прилади, системне програмне забезпечення та програми на предмет вразливості. Сюди можуть входити відкриті порти, задні двері, погано написані сценарії та непакетовані операційні системи (ОС). Ви, напевно, вже знаєте про ноутбуки, телефони, телевізори та інші бізнес-орієнтовані пристрої, але, мабуть, є маса розумних пристроїв, підключених до вашої мережі, які ви не усвідомлювали або забули, що підключились. І тоді є непотрібні зв’язки, про які слід також хвилюватися.

"Користувачі, які хочуть зробити швидке сканування мережі, щоб дізнатися, що відбувається в їхній мережі, ймовірно, виявлять, що вони мають більше підключених пристроїв, ніж вони розуміють", - сказав Арсен. "Смартфони, смарт-телевізори, термостати, консолі та камери спостереження, ймовірно, будуть підключені до тієї ж мережі, що і ваші ноутбуки та настільні комп'ютери. Враховуючи, що пристрої IoT виявились вразливими, їх підключення до однієї мережі наражає на небезпеку кожен пристрій цієї мережі. Отже, якщо ви виявите це, створіть окрему мережу для своїх пристроїв IoT і переконайтеся, що вони там залишаються ».



2 2. Вимкнення універсального підключення та відтворення

Universal Plug and Play (UPnP) дозволяє передавати дані між підключеними пристроями у вашій мережі, а також автоматично виявляти зазначені пристрої. В основному використовується як спосіб передачі музики на аудіопристрої, UPnP також використовується для передачі відео з камер безпеки на монітори, для надсилання завдань друку на принтери та для швидкого обміну даними з мобільного пристрою на мобільний пристрій.

На жаль, UPnP не підходить для бізнес-середовищ. По-перше, трафік UPnP буде споживати занадто багато ресурсів у вашій мережі. По-друге, і найголовніше, що пристрої з підтримкою UPnP "узгоджують доступ до Інтернету з вашим маршрутизатором і відкривають себе в Інтернеті", - сказав Арсен. Відключивши UPnP на всіх пристроях, ви зможете обмежити вплив зовнішніх і ворожих сил.



3 3. Блокуйте відкриті порти Telnet

Ми вже встановили, що пристрої IoT вразливіші до впливу, ніж стандартні пристрої, підключені до Інтернету. Як результат, переконайтесь, що брандмауер вашого маршрутизатора блокує відкриті порти telnet на пристроях IoT. Якщо їх немає, то хакери можуть використовувати зловмисне програмне забезпечення, щоб спробувати увійти на пристрої, використовуючи комбінації імені користувача та пароля.

Зважаючи на те, що більшість інтерфейсів Telnet попереднього покоління за замовчуванням були відкриті та не спонукали користувачів змінювати встановлені паролі, ви, мабуть, ризикуєте здійснити подібні атаки. Використовуйте цей посібник команд telnet, щоб допомогти вам закрити відкриті підключення Windows. Скористайтеся цим посібником для Linux.



4 4. Примарить вашу мережу з приєднаним сховищем

Пристрої мережевого приєднаного сховища (NAS) чудово підходять для малих та домашніх офісів. Вони дозволяють вам зберігати та отримувати доступ до величезної кількості файлів у вашій мережі, не потребуючи фізичного підключення до пристрою. На жаль, оскільки стільки важливих даних зберігається на пристроях NAS, незахищений доступ може означати катастрофу для вашого бізнесу.

Навіть захист паролем вашого NAS не буде достатньо хорошим, якщо хтось відчайдушно намагається проникнути в пристрій. Якщо вимкнути виявлення мережі, кожен, хто отримав доступ до вашої мережі без дозволу, навіть не побачить, що пристрій NAS існує.



5 5. Налаштуйте свій маршрутизатор

Під час налаштування маршрутизатора вперше, ви хочете налаштувати його під ваш конкретний випадок використання, орієнтований на безпеку. По-перше, ви не хочете керувати його інтерфейсом з Інтернету. Або використовуйте брандмауер між інтерфейсом та мережею управління або налаштуйте лише доступ до локального управління.

По-друге, вам потрібно переконатися, що ви не використовуєте облікові дані маршрутизаторів за замовчуванням, згідно Арсена. Як і у портах Telnet, більшість маршрутизаторів пропонують імена користувачів і паролі за замовчуванням, які хакерам значно простіше розшифрувати. Починаючи налаштування маршрутизатора, не забудьте виконати цю просту зміну.


Ви також хочете обмежити, які IP-адреси можуть керувати маршрутизатором, щоб лише відомі адреси мали доступ до адміністративного інтерфейсу. "Завжди пам’ятайте про оновлення мікропрограмного забезпечення та переконайтесь, що такі сервіси, як Telnet, UPnP, SSH (безпечна оболонка) та HNAP (протокол адміністрації домашньої мережі), не можуть бути доступні через Інтернет", - додав Арсен.