В наши дни для обеспечения кибербезопасности необходимы более разнообразные (и эффективные) защитные меры, чем когда-либо раннее. Данные меры охватывают использование передового опыта, что помогает конечным пользователям оставаться хорошо осведомленными о предстоящих угрозах и о том, как их избежать, а также внедрение технологии интернет-безопасности и ее постоянное обновление.
В динамично меняющейся обстановке, в которой постоянно развиваются угрозы и практически ежедневно выявляются новые уязвимости, следует использовать самые современные средства обеспечения безопасности, поскольку они связаны с мерами по предотвращению новых и постоянно меняющихся векторов атак.
Независимо от того, идет ли речь о рабочем месте, школьной или домашней среде, настройки безопасности должны учитывать и обеспечивать защиту всех элементов, которые могут стать шлюзами для возможных атак. В этой статье мы рассмотрим некоторые аспекты безопасности, на которые пользователям следует обратить внимание, настраивая домашнюю сеть, в частности, связанные с настройкой маршрутизатора, подключенного к интернету.
1. Выполнить проверку линии связи и аутентификации маршрутизатора
Недавно на сайте WeLiveSecurity.com была опубликована информация о том, как защитить ваш домашний роутер от угроз IoT («Интернета вещей). Теперь мы рассмотрим другие важные аспекты, связанные с управлением и настройкой маршрутизаторов, в частности, пошаговые инструкции относительно портов и служб.
Управление и настройка роутеров обеспечивается посредством использования некоторых портов в локальной сети; данное действие может быть выполнено посредством подключения кабеля Ethernet или беспроводного соединения. Как правило, вы можете настроить маршрутизатор, подключив его к интернету, но маршрутизаторы также разрешают соединения с другими службами и портами, например, FTP (порт 21), SSH (22), Telnet (23), HTTP (80), HTTPS (443) или SMB (139, 445).
Кроме того, существуют различные другие общеизвестные и широко используемые службы, порты по умолчанию которых утверждены Администрацией адресного пространства Интернет (IANA) в качестве интернет-стандартов. Несмотря на то, что заблокированный порт в вашем маршрутизаторе может быть настроен по умолчанию, вы имеете доступ к просмотру конфигураций, чтобы узнать состояние и ознакомиться с параметрами конфигурации. Другими словами, вы можете включить только те службы, которые вам нужны, отключить все остальные и заблокировать неиспользуемые порты. Это касается даже удаленных подключений, за исключением тех случаев, когда они необходимы.
Такая же логика применима и в отношении использования паролей для управления службами. Вам следует сменить пароль (admin) и имя пользователя, если возможно, чтобы они не были стандартными по умолчанию. Если пароль роутера по умолчанию не был изменен, злоумышленники могут знать или с легкостью взломать его; если это произойдет, они могут войти в настройки вашего маршрутизатора и изменить параметры конфигурации или поставить под угрозу вашу сеть.
Мы также рекомендуем использовать длинные и сложные пароли или парольную фразу для этих целей; вы можете воспользоваться диспетчером паролей для создания и хранения паролей в надежном месте. Вот почему важно проверять конфигурации служб и портов, учетные записи пользователей и надежность паролей.
2. Выполнить тестирование маршрутизатора на наличие уязвимостей
Существует еще один аспект, который следует учитывать при поиске «слабых мест» в настройках маршрутизаторов, – это их тестирование, осуществляемое с использованием инструментов, позволяющих автоматизировать такие задачи, как поиск существующих уязвимостей. Такого рода инструменты включают информацию, варианты и предложения относительно того, как решить эти возможные проблемы. Злоумышленники используют аналогичные инструменты для выявления уязвимостей в вашем маршрутизаторе, так что было бы неплохо и вам применять их и тогда ваш маршрутизатор не станет «легкой добычей».
Некоторые инструменты тестирования маршрутизаторов предусматривают сканирование на наличие уязвимостей портов, вредоносных DNS-серверов, паролей по умолчанию или слабых паролей, уязвимой прошивки или атак вредоносного ПО. Другие используют анализ уязвимостей компонентов веб-сервера маршрутизатора, который подразумевает выявление таких проблем, как межсайтовый скриптинг (XSS), внедрение кода или удаленное выполнение кода.
Если вы не знакомы с подобными видами атак и взломов, обязательно определитесь с выбором иструмента для тестирования маршрутизатора (или группой инструментов), который максимально упростить вашу работу. Вы можете начать с использования инструмента Connected Home Monitor (Подключенный домашний монитор), несмотря на то, что данная версия является неполной.
3. Проверить устройства, подключенные к сети
Третьим аспектом обеспечения нормальной работы и производительности маршрутизатора и сети является идентификация подключенных устройств. Иногда по причине ненадлежащего функционирования и использования уязвимых протоколов возможно подключение доверенных устройств без соответствующей авторизации, а также ненадежных устройств.
Поэтому было бы целесообразным знать и определять все устройства, которые подключаются к вашему маршрутизатору: во-первых, чтобы избежать незаконного потребления ресурсов третьими лицами, что ухудшает производительность сети, а во-вторых, в целях безопасности, чтобы предотвратить утечку вашей информации.
Независимо от того, выполняется ли подобная проверка посредством автоматизированного инструмента или вручную с помощью параметров управления маршрутизатора, надлежащий дальнейший этап заключается в подключении исключительно разрешенных устройств посредством использования фильтров для ограничения доступа только лишь к определенным IP или MAC-адресам.
Для идентификации инструмент Connected Home Monitor предоставит легкодоступный список устройств, классифицированных по типу (например, принтер, маршрутизатор, мобильное устройство и т. д.) и подключенных к вашей домашней сети. Затем вы должны самостоятельно внести изменения, используя интерфейс маршрутизатора.
4. Обновите все устройства в домашней сети
Последняя информация об уязвимости, известной под названием KRACK (Key Reinstallation AttaCK – «Атака с переустановкой ключа»), позволяющей перехватить трафик между устройствами, подключенными к одной точке доступа Wi-Fi, вновь подчеркивает важность обновлений.
Чтобы атака воспользовалась данной уязвимостью, злоумышленник, как правило, должен находиться рядом с сетью Wi-Fi предполагаемой «жертвы». В случае успешной атаки злоумышленник сможет шпионить за передачей информации или устанавливать вредоносное ПО. Мы всегда рекомендуем обновлять все устройства, подключенные к вашей сети (например, компьютеры, смартфоны или планшеты), как только производители публикуют обновления для системы безопасности, устраняющие уязвимость; также следует обновлять прошивку маршрутизаторов сразу после размещения патчей.
Другие методы, такие как настройка компьютеров в режиме «Общественная сеть», повышают уровень безопасности устройства по сравнению с сетевым режимом «Частный/Домашний», поскольку снижают риск атаки через доверенные устройства. Мы хотели бы подчеркнуть, что самое главное – это своевременное обновление компьютеров и других устройств.
5. Включить средства безопасности
Пятым целесообразным методом является включение средств безопасности, доступных в конфигурации маршрутизатора, которые различаются в зависимости от модели и типа устройства. Независимо от модели маршрутизатора, используемой в вашей домашней сети, мы рекомендуем включить средства безопасности, обеспечивающие более эффективную защиту ваших устройств и сети.
Например, некоторые последние модели маршрутизаторов предусматривают параметры настройки, обеспечивающие более высокую степень защиты от так называемых атак «Отказа в обслуживании» (DoS), таких как SYN-флуд, ICMP Echo, ICMP Redirection, LAND, Smurf и WinNuke. Если включение подобных средств защиты препятствует надлежащему функционированию вашего маршрутизатора и сети, выборочно отключите их, чтобы повысить производительность.
Защита информации – это задача непреходящего значения
Мы немного затронули пять способов, способствующих повышению уровня безопасности. Важно проверить настройки вашего маршрутизатора и, при необходимости, изменить их, чтобы содействовать комплексной защите сети, маршрутизатора, устройств и, конечно же, ваших данных; это позволит заблокировать многие точки входа, используемые в настоящее время широко распространенными угрозами кибербезопасности.