Как обезопасить свой роутер и домашнюю сеть?

0
220

Пользователи могут решать не все проблемы, связанные с безопасностью маршрутизатора, но вы можете предпринять ряд действий, которые определенно помогут защитить вашу домашнюю сеть или сеть малого бизнеса.

Подавляющее большинство пользователей современных электронных устройств не знают об этом, но для большинства людей их интернет-маршрутизатор является наиболее важным и наиболее уязвимым электронным устройством в домашних условиях. Он соединяет большинство других устройств друг с другом и с внешним миром, так что это отличная точка, на которую могут атаковать хакеры.

К сожалению, многие потребительские маршрутизаторы и малые предприятия приходят напрямую от интернет-провайдеров, но мало кто задумывается о том, чтобы найти собственный маршрутизатор или даже поиграть с полученными настройками устройства. В результате они используют маршрутизаторы, которые часто не имеют надлежащей документации, а их прошивка протекает как швейцарский сыр. Некоторые из этих проблем выходят за пределы возможностей пользователя (если он не покупает выделенный маршрутизатор), другие могут быть решены им самим. Мы представляем несколько советов о том, как повысить безопасность вашего маршрутизатора и ваших данных в сети.

Как обезопасить свой роутер и домашнюю сеть? Вот 14 советов:

• Избегайте использования маршрутизаторов, предоставляемых вашим провайдером. Эти маршрутизаторы менее безопасны, чем те, которые продаются специализированными производителями. Кроме того, устройства, принадлежащие интернет-провайдерам, часто имеют выделенные учетные данные удаленного сервиса, которые пользователь не может изменить каким-либо образом, и определенное микропрограммное обеспечение часто обновляется намного позже, чем того требует динамический мир вредоносных программ. Следует признать, что производители маршрутизаторов работают в этой области гораздо быстрее.

• Изменить пароль администратора по умолчанию. Многие маршрутизаторы поставляются с установленными паролями администратора по умолчанию. В свою очередь, киберпреступники постоянно пытаются взломать такие пароли, потому что они дадут им доступ ко многим устройствам одновременно. При первом входе в консоль управления маршрутизатором обязательно смените пароль, предоставленный поставщиком услуг Интернета / производителем.

• Страница управления маршрутизатором удаленно не должна быть доступна через обычное интернет-соединение. В большинстве случаев вам не нужно менять настройки маршрутизатора за пределами вашей локальной сети (LAN). Тем более такая возможность должна быть заблокирована из других мест в интернете. И если по какой-то причине вам нужна эта опция, всегда используйте зашифрованное соединение со службой VPN.

• Даже в локальной сети стоит ограничить, какой IP-адрес (интернет-протокол) может управлять маршрутизатором. Если эта опция возможна, то всегда разрешайте доступ к одному IP-адресу, который не принадлежит пулу, выделенному в дамбах DHCP (Dynamic Host Configuration Protocol). Например, настройте параметр DHCP для назначения адресов из пула с 192.168.0.1 по 192.168.0.50, но разрешите доступ к консоли управления маршрутизатором только для адреса 192.168.0.53. Компьютер должен быть настроен вручную для подключения к этому адресу и, следовательно, к маршрутизатору.

• Включите HTTPS-доступ к интерфейсу конфигурации маршрутизатора и всегда выходите из системы после выполнения этой операции. Используйте режим инкогнито или приватный режим при работе с маршрутизатором, чтобы в браузере не сохранялись сеансы, содержащие файлы cookie, из которых злоумышленник мог извлечь логин и пароль.

• Измените IP-адрес локальной сети маршрутизатора, если это возможно. В большинстве случаев маршрутизатор будет назначен первому определенному блоку, например, 192.168.0.1. По возможности, измените этот адрес на 192.168.0.99 или любой другой, который легко запомнить и в то же время не принадлежит пулу DHCP. Стоит добавить, что весь пул можно обменять (в частных сетях).

• Выберите сложный пароль Wi-Fi и надежный протокол безопасности. WPA2 (Wi-Fi Protected Access II) уже должен быть стандартом, поскольку более старые WPA и WEP уязвимы для атак методом перебора. Если маршрутизатор предлагает эту опцию, создайте отдельную сеть Wi-Fi для гостей, также защищенную протоколом WPA2 и надежным паролем. Попросите друзей и других посетителей использовать эту сеть, а не ваш основной Wi-Fi. Скорее всего, у друзей не будет плохих намерений, но их мобильные устройства могут быть заражены вредоносным ПО. Примечание. Если у вас современный маршрутизатор, при выборе WPA2 немедленно включите шифрование CCMP (Режим счетчика с протоколом кода аутентификации цепочки сообщений шифровального блока). На некоторых маршрутизаторах это шифрование называется AES (Advanced Encryption Standard). Он использует 256-битный ключ. Вычислительная мощность современных компьютеров не позволяет сломать ее в течение приемлемого времени. Менее эффективное шифрование WPA-PSK (с предварительным общим ключом) в сочетании с TKIP (протокол целостности временного ключа) использует длину ключа 40 или 128 бит. Если злоумышленник имеет в своем распоряжении оборудование с высокой вычислительной мощностью, он может — по крайней мере теоретически — взломать шифрование и взломать сеть несколькими попытками (принудительная атака).

• Отключите функцию WPS (WiFi Protected Setup) на вашем DSL-маршрутизаторе. WPS должен предоставить пользователю большее удобство при установлении соединений в WLAN, так как он позволяет устанавливать Wi-Fi с помощью PIN-кода, который обычно указан на наклейке маршрутизатора. Тем не менее, эта функция может также легко помочь хакерам проникнуть в чужие сети.

• Чем меньше услуг ваш маршрутизатор использует для подключения к Интернету, тем лучше. Об этом следует помнить, особенно когда вы используете службы, о которых вы, вероятно, даже не знаете, такие как Telnet, UPnP (универсальный Plug and Play), SSH (Secure Shell) и HNAP (протокол администрирования домашней сети), которые теоретически доступны они через Интернет и, следовательно, служат дверями для потенциальных хакеров. Возьмите UPnP в качестве примера. Тот факт, что он позволяет программам и устройствам изменять настройки маршрутизатора, чтобы вам не приходилось каждый раз менять конфигурацию самостоятельно, но троян, переправленный в WLAN, может переконфигурировать настройки маршрутизатора. Поэтому рекомендуется отключить UPnP. Некоторые модели запрещают UPnP изменять параметры безопасности, и в этом случае вам не нужно полностью отказываться от этой функции. Стоит проверить интернет-сервис https://www.grc.com/shieldsup, который сканирует публичный IP-адрес маршрутизатора и ищет открытые порты. Также проверяет UPnP.

• Обновите прошивку маршрутизатора. Регулярно посещайте веб-сайт производителя, чтобы проверить наличие новой версии прошивки для маршрутизатора. Обновления во многих случаях устраняют вновь обнаруженные уязвимости в устройстве.

Для требовательных клиентов:

• Сегментация сети может быть полезна для изоляции опасных устройств. Некоторые потребительские маршрутизаторы имеют функцию создания VLAN (виртуальных локальных сетей) как части более крупной частной сети. Эти виртуальные сети можно использовать, например, для изоляции устройств Интернета вещей, которые по-прежнему считаются экспертами наиболее уязвимыми для киберпреступников. Многие IOT-устройства могут управляться из приложений смартфона или через внешние облачные сервисы. Пока эти устройства имеют собственный доступ к сети, им не нужно будет использовать соединение, установленное через смартфон на постоянной основе (за исключением, возможно, первой конфигурации). Это хорошее решение, поскольку в противном случае вредоносная программа может использовать уязвимости IOT-устройства для заражения управляющих устройств, таких как смартфон или компьютер.

• MAC и IP фильтрация работает. MAC-адреса, также известные как физические адреса, являются визитными карточками для устройств, использующих сеть. Маршрутизаторы Wi-Fi позволяют создавать список доверенных компонентов, которые могут к нему подключаться. Компьютер с адресом, которого нет в списке, будет заблокирован. Хотя можно выдать себя за MAC-адрес, фильтр является серьезным барьером, ограничивающим возможность взлома. По возможности также стоит использовать IP-фильтрацию. Включение фильтрации MAC-адресов может очень затруднить, если не сделать невозможным, злоумышленнику подключение к сети Wi-Fi, даже если пароль к нему украден.

• Переадресация портов должна идти рука об руку с IP-фильтрацией. К службам, работающим на компьютере за маршрутизатором, можно получить доступ извне, если переадресация портов на маршрутизаторе не определена должным образом. Многие приложения автоматически открывают порты, используя UPnP, что не всегда безопасно. Когда UPnP отключен, пользователь может добавлять правила для открытия портов. Некоторые маршрутизаторы предлагают возможность указания источника адреса или пула IP-адресов, которые могут подключаться к определенным портам для поддержки указанных служб в данной сети. Например, если вы хотите подключиться к FTP-серверу на своем домашнем компьютере с работы, вы можете создать правило перенаправления порта 21 (FTP) на своем маршрутизаторе, но только для соединений из блока, принадлежащего IP-адресам компании, где вы работаете.

• Собственная прошивка может быть более безопасной, чем предустановленная. В сети есть несколько проектов прошивок на базе Linux и сообщества для широкого круга домашних маршрутизаторов. OpenWRT, DD-WRT и Asuswrt-Merlin (для устройств Asus) — это лишь некоторые из популярных проектов. Такое программное обеспечение предлагает более продвинутые и изменяемые параметры конфигурации, чем встроенное ПО, доступное для заводских устройств. Его создатели также быстро исправляют любые дыры в программном обеспечении (обычно быстрее, чем производители оборудования). Кроме того, относительно низкая популярность такого программного обеспечения означает, что его реже встречают в перекрестии хакеров. Конечно, есть и недостатки. Прежде всего, вы должны знать, что игра с этим типом программного обеспечения требует от пользователя действительно высоких технических знаний и понимания того, что делать, и, как правило, также означает потерю гарантии на оборудование (которое может быть легко повреждено). Пусть не будет, чтобы мы вас не предупреждали!