Andmete kaitse erakasutaja arvutivõrgus – tee seda ise ABC!

0

Tarvi Raudmägi, G4S Eesti andmeturbejuht

Kui veel mõne aasta eest oli arvutivõrgu turvamine peaasjalikult vaid suurte ettevõtete mure, siis tänasel päeval ei ole see enam kaugeltki nii. Paari viimase aasta nutibuum on asja veelgi keerulisemaks ajanud ja nii ongi paljud inimesed jõudnud äratundmisele, et koduse seadmete sigrimigri mõistlik haldamine ja oma võrgu piisavalt turvalisena hoidmine ei olegi nii lihtne. Selle kirjatüki eesmärk ongi aidata inimesi, kellel on juba olemas või ka plaan kodustest arvutitest ja nutiseadmetest oma väike kohtvõrk luua.

Arvata, et kui teenusepakkuja on oma karbi paigaldanud ja internetiühendus toimib, siis ongi kõik korras ja midagi enamat teha ei olegi nagu vaja ,on küll lihtne, aga mitte just alati parim lahendus.

Loomulikult ei soovi tavakasutaja teha suuri kulutusi kallitele tulemüüridele või maksta sadu eurosid spetsialistidele. Siiski saab kodukasutaja või väikefirma ise mõndagi teha.

A – tulemüür
Esimene vajalik samm on tavaliselt juba tehtud ehk siis tulemüür on reeglina juba olemas. See teenusepakkuja karbikene nimelt blokeerib vaikimisi seadistuses kõik ühendumise katsed, mida interneti poolt tehakse, küll aga lubab ühenduda erinevate teenustega internetis. Tüüpilises  teenusepakkuja võrgulüüsi seadmes on tavaliselt peidus veel ridamisi võimalusi asjade paremaks korraldamiseks, samas reeglina ei ole need aktiveeritud.

Kui peres juhtub olema lapsi ja soovite nende tegemisi veidi viisakamatesse raamidesse suruda, siis tasub uurida, ehk saab teenusepakkuja seadmega kellaajalisi ja ehk kavalamaidki piiranguid kehtestada. Paraku peab võrgu tasemel vähegi töötavate piirangute kehtestamiseks siiski ise natuke kallima seadme soetama. Kui plaanid tõsised ja soov kindel, siis tasub otsida UTM (ingl Unified Threat Management) võimekusegaeraldisesivat seadet Selline tulemüür on nagu orkester, oskab vaadata võrguliikluse sisse ja sealt viiruseid elimineerida, keelata või lubada erinevaid veebiteenuseid väga detailsete reeglite järgi, isegi spami tõrjuda ja läbiva võrguliikluse kohta aruandeid koostada. Ise arvan, et viiruste tõrjumise kõrval ehk kõige vajalikum ongi veebiliikluse kontrollimine. Näiteks Facebooki ja – ütleme – Delfi liikluse eristamine ning selle alusel lubamine-keelamine on täiesti tehtavad.

Samuti on võimalik kehtestada reegleid stiilis „lubame lapse arvutist kell 08.00-20.00 Youtube’i kasutamist, aga ei luba näiteks Pirate Bay või torrenti kasutamist.

Samas teistest seadmetest lubame kõike peale täiskasvanute lehtede. Ja siis lõpuks lubame kõike isa-ema arvutist. Niiviisi saame osaliselt kontrollida ka nutiseadmetega kodus toimuvat. Eelduseks on siin muidugi, et viimased on n-ö jõuga kodust võrku kasutama seadistatud. Tänasel päeval on selliste uue põlvkonna tulemüüride (Next Generation Firewall, NGF) vallas hinnad juba ka kodukasutajale taskukohasemaks muutunud ja turul pakkujaidki mitmeid.

B – seadmetevahelised ühendused
Tulemüür paigas ja seadistatud, tasub järgmiseks mõelda seadmetevaheliste ühenduste turvalisemaks muutmisele. Kõige kindlam oleks juhtmevabasid ühendusi vältida ja kogu infot juhtmete kaudu edastada. Sellisel juhul on ainsaks mureks teha kõrvaliste isikute füüsiline juurdepääs meie arvutivõrgule võimalikult raskeks. Kõrvalepõikena olgu öeldud, et see viis on ka kiirem ja tõrkevabam. Kui näiteks suuremaid videofaile või siis pildiarhiive liigutada, võib ajakulu erineda isegi 10 korda.

Mida iganes ka ei räägita, üle 100 mbit/s traadita ühenduse kiiruse saavutamiseks on vaja häid seadmeid ja võimalikult vähe takistusi seadmete vahel. Samas ka keskpärane juhtmetega süsteem suudab ajaühikus 10 korda enam andmeid edastada. Ometi ei saa juhtmevabast lahendusest üle ega ümber, kõikjale kaableid vedada nii ehk naa ei jõua ja tagatipuks tihti muud moodi ei saagi.

Siiski, õigesti seadistatud juhtmevaba võrk on koduseks kasutuseks igati sobiv. Kuidas seda siis teha? Otstarbekas on kasutada juhtmevabadel ühendustel eelseadistatud salasõna ehk võtmega (PSK, Pre Shared Key) autoriseerimist (kasutage kindlasti pikka ja keerulist) ja WPA2 protokolli. Mingil juhul ei tohi kasutada WEP-i See on igale koolijütsile murtav ja vaid pool sammu parem kui turvamata liiklus.

Kui leidsite et pakutakse ka mingit asja nimega WPA2 Enterprise, siis tõesti, see on veelgi parem, aga eeldab ka keerukaid tugisüsteeme. Seega unustage kodukasutuses ära. Reeglina saab veel valida liikluse krüpteerimise protokolli. Siin on viimase aja arengute valguses raske head soovitust anda. Nimelt siiani turvaliseks peetud AES-krüpteeringus on leitud suuri puuduseid ja see olevat murtav ka teistele peale eriteenistuste. Viimase asjana võiks veel keelata kodusel juhtmevabal võrgul enda olemasolust teavitada (on leitav SSID Broadcast vms nime all). Siis ei ole võrk niisama lihtsalt leitav ja ühendumiseks peab võrgu nime teadma. Samuti annate ründajale signaali, et tegemist ei ole väga lihtsa sihtmärgiga.

C – viirusetõrje
Kindlasti peaks kõikides kodustes arvutites olema korralik viirusetõrje lahendus. Ei ole ka õuna pildiga seadmed ega Linux pahavara vastu kaitstud. Iseasi, kust kohast viimastele kahele hea tõrjevahendi leiab. Eelistada tuleks mõne tuntud tootja antiviiruse tasulist versiooni. Tasuta saab midagi, aga head reeglina mitte kunagi. Uuemate poliitiliste arengute valguses vaataksin kindlasti ka seda, millises riigis ühte või teist antiviirust tehakse. Ja seda üldsegi mitte selleks, et majanduslikult teadliku käitumisega hiilata. Põhjus on väga proosaline – nimelt kui antiviiruse igapäevastesse uuendustesse kirjutada, et näiteks mõni oluline Windowsi komponent on hoopis viirus, siis lõpetab teie arvuti lihtsalt töö. Ja selline asi võib mõne kirillitsat kasutava eriteenistuse nõudmisel väga äkki juhtuda.

Kõikvõimalikud halduri ja muud paroolid nii arvutites kui ka võrguseadmetes peavad olema hea kvaliteediga ja piisava pikkusega. Kui saab, siis tasub ka halduri konto nimi ära muuta ja seadistada piirangud haldamiseks mõeldud aadressidele sisenemiseks. Näiteks ei tohiks juhtmevaba võrk olla seadistatav seda sama juhtmevaba ühendust kasutades. Niiviisi talitades on asjasse mitte puutuval isikul raskem pahandust teha, sest juhtmevaba ühenduse salasõna teadmine ei aita veel seadmete seadistustele lähemale. Sageli arvatakse, et igasugu monitorita karbikesed on vaid riistvara ja nendes ei ole midagi uuendada. See on vale arvamus, ka tulemüüride ja juhtmevaba võrgu seadmete tarkvara peaks aeg-ajalt uuendama.

Kõik eelnev tehtud? Väga hea, nüüd võite endale kinnitada, et kui midagi juhtub, siis olete vähemalt püüdnud seda vältida. Ja kindlasti välditegi mõne ebameeldivuse. Paraku on internet ja kogu digitaalne maailm ikka veel sedavõrd metsik lääs, et isegi 99% turvalisust ei ole võimalik saavutada miljonite dollarite ja kümnete spetsialistide abil. Ainus ideaalselt turvatud arvuti on maa all betoonist punkris, sellel ei ole ühendust teiste arvutitega ja tagatipuks isegi elekter on välja lülitatud.

Jaga

Kommenteeri