Сьогодні безпровідною Wi-Fi роутер є практично в будь-якому будинку, куди проведений широкосмуговий інтернет. Однак далеко не всі власники таких пристроїв замислюються над тим, що при настройках за умовчанням вони надзвичайно уразливі для зловмисників.
Хакери можуть не обмежитися дослідженням пам'яті виключно ваших власних пристроїв - їх вміст може підказати ключі до мереж вашої компанії, ваших близьких і знайомих, до даних всіляких комерційних і державних інформаційних систем. Більш того, через вашу мережу і від вашого імені зловмисники можуть проводити масові атаки, зломи, незаконно поширювати мультимедійні дані і програмне забезпечення і займатися іншою кримінально караною діяльністю.
Тим часом, щоб убезпечити себе від подібних загроз, варто слідувати лише декільком простим правилам, які зрозумілі і доступні навіть тим, хто не має спеціальних знань в області комп'ютерних мереж. Пропонуємо вам ознайомитися з цими правилами.
1. Змініть дані адміністратора за замовчуванням
Ключовий елемент безпеки домашньої мережі - можливість зміни налаштувань, тому потрібно обов'язково змінити всі дані адміністратора за замовчуванням, адже вони можуть використовуватися в десятках тисяч примірників таких же роутерів, як і у вас. Знаходимо відповідний пункт і вводимо нові дані.
У деяких випадках можливість довільного зміни даних адміністратора заблокована провайдером послуг, і тоді вам доведеться звертатися за допомогою до нього.
2. Встановіть або змініть паролі для доступу до локальної мережі
Ви будете сміятися, але все ще трапляються випадки, коли щедрий володар бездротового роутера організовує відкриту точку доступу, до якої може підключитися кожен. Набагато частіше для домашньої мережі вибираються псевдопаролі типу «1234» або якісь банальні слова, задані при установці мережі. Щоб мінімізувати ймовірність того, що хтось зможе з легкістю забратися в вашу мережу, потрібно придумати справжній довгий пароль з букв, цифр і символів, і встановити рівень шифрування сигналу - бажано, WPA2.
3. Вимкніть WPS
Технологія WPS (Wi-Fi Protected Setup) дозволяє швидко налагодити захищену бездротову зв'язок між сумісними пристроями без докладних налаштувань, а лише натисненням відповідних кнопок на роутері і гаджет або шляхом введення цифрового коду.
Тим часом, у цій зручної системи, зазвичай включеної за замовчуванням, є одне слабке місце: оскільки WPS не враховує число спроб введення неправильного коду, вона може бути зламана «грубою силою» шляхом простого перебору за допомогою найпростіших утиліт. Буде потрібно від декількох хвилин до декількох годин, щоб проникнути в вашу мережу через код WPS, після чого не складе особливих труднощів обчислити і мережевий пароль.
Тому знаходимо в «адмінки» відповідний пункт і відключаємо WPS. На жаль, внесення змін в налаштування далеко не завжди дійсно відключить WPS, а деякі виробники взагалі не передбачають такої можливості.
4. Змініть найменування SSID
Ідентифікатор SSID (Service Set Identifier) - це назва вашої бездротової мережі. Саме його «згадують» різні пристрої, які при розпізнаванні назви і наявності необхідних паролів намагаються підключитися до локальної мережі. Тому якщо ви збережете стандартну назву, встановлене, наприклад, вашим провайдером, то є ймовірність того, що ваші пристрої будуть намагатися підключитися до безлічі найближчих мереж з тією ж самою назвою.
Більш того, роутер, який транслює стандартний SSID, більш вразливий для хакерів, які будуть приблизно знати його модель і звичайні налаштування, і зможуть нанести удар в конкретні слабкі місця такій конфігурації. Тому виберіть якомога більше унікальну назву, нічого не говорить ні про провайдера послуг, ні про виробника обладнання.
При цьому часто зустрічається рада приховувати трансляцію SSID, а така опція стандартна для переважної більшості роутерів, насправді неспроможний. Справа в тому, що всі пристрої, які намагаються підключитися до вашої мережі, в будь-якому випадку будуть перебирати найближчі точки доступу, і можуть підключитися до мереж, спеціально «розставлених» зловмисниками. Іншими словами, приховуючи SSID, ви ускладнюєте життя тільки самим собі.
6. Вимкніть віддалене адміністрування
Для зручності технічної підтримки (в основному) у багатьох побутових роутерах реалізована функція віддаленого адміністрування, за допомогою якої настройки роутера стають доступні через інтернет. Тому, якщо ми не хочемо проникнення ззовні, цю функцію краще відключити.
При цьому, однак, залишається можливість зайти в веб-інтерфейс через Wi-Fi, якщо зловмисник знаходиться в полі дії вашої мережі і знає логін і пароль. У деяких роутерах є функція обмежити доступ до панелі тільки при наявності проводового підключення, проте, на жаль, ця опція зустрічається досить рідко.
7. Оновлення прошивки
Кожен поважаючий себе і клієнтів виробник роутерів постійно вдосконалює програмне забезпечення свого обладнання і регулярно випускає оновлені версії мікропрограм ( «прошивок»). У свіжих версіях насамперед виправляються виявлені вразливості, а також помилки, що впливають на стабільність роботи.
Зверніть увагу на те, що після поновлення всі зроблені вами настройки можуть скинутися до заводських, тому є сенс зробити їх резервну копію - також через веб-інтерфейс.
8. Перейдіть в діапазон 5 ГГц
Базовий діапазон роботи мереж Wi-Fi - це 2,4 ГГц. Він забезпечує впевнений прийом більшістю існуючих пристроїв на відстані приблизно до 60 м в приміщенні і до 400 м поза приміщенням. Перехід в діапазон 5 ГГц знизить дальність зв'язку в два-три рази, обмеживши для сторонніх можливість проникнути в вашу бездротову мережу. За рахунок меншої зайнятості діапазону, ви зможете також зауважити підвищити швидкість передачі даних і стабільність з'єднання.
Мінус у цього рішення тільки один - далеко не всі пристрої працюють c Wi-Fi стандарту IEEE 802.11ac в діапазоні 5 ГГц.
9. Вимкніть функції PING, Telnet, SSH, UPnP і HNAP
Якщо ви не знаєте, що ховається за цими абревіатурами, і не впевнені, що ці функції вам обов'язково будуть потрібні, знайдіть їх в настройках роутера і відключіть. Якщо є така можливість, замість закриття портів, виберіть прихований режим (stealth), який при спробах зайти на них ззовні зробить ці порти «невидимими», ігноруючи запити і «пінг».
10. Увімкніть брандмауер роутера
12. Перейдіть на інший DNS-сервер
Замість використання DNS-сервера вашого провайдера, можна перейти на альтернативні, наприклад, Google Public DNS або OpenDNS. З одного боку, це може прискорити видачу інтернет-сторінок, а з іншого, підвищити безпеку. Наприклад, OpenDNS блокує віруси, ботнети і фішингові запити з будь-якого порту, протоколу і з додатком, і завдяки спеціальним алгоритмам на базі Великих Даних здатний передбачати і запобігати різноманітні загрози і атаки. При цьому Google Public DNS - це просто швидкісний DNS-сервер без додаткових функцій.
13. Встановіть альтернативну «прошивку»
І, нарешті, радикальний крок для того, хто розуміє, що робить, - це установка прошивки, написані не виробником вашого роутера, а ентузіастами. Як правило, такі «прошивки» не тільки розширюють функціональність пристрою (зазвичай додаються підтримка професійних функцій на зразок QoS, режиму моста, SNMP і т.д), але і роблять його більш стійким до уязвимостям - в тому числі і за рахунок нестандартності.
Серед популярних open-source «прошивок» можна назвати засновані на Linux DD-WRT, OpenWrt і Tomato.
Увійти за допомогою
Головні тенденції кібербезпеки першого полуг.
Презентація роботи охоронного генератора туману UR.
Нестандартне застосування технологій RFID
Як не стати жертвою кишенькового злодія