В качестве объекта того, что еще можно улучшить в этом году, маршрутом, заслуживающим вашего внимания, может стать устройство, которое является нервным центром вашей сети и которое, если плохо защищено, может стать источником многих потенциальных проблем.
Как вы защищаете свою сеть? По большей части, эта почетная обязанность отводится одному устройству, которое взаимодействует со всеми подключенными к Интернету устройствами вашего дома, – вашему маршрутизатору. Это скромный гаджет, на котором, возможно, и не хранятся никакие ваши персональные данные. Тем не менее, учитывая весь трафик, который проходит через него, надлежащая забота об этой сетевой рабочей лошадкой должна стать ключевым компонентом вашей культуры безопасности. Мы же, как правило, игнорируем проблемы безопасности, связанные с нашими маршрутизаторами.
В нашу эпоху, сильно зависящую от технологий, одна такая черная коробочка играет главную роль в любой домашней сети (хорошо, многие маршрутизаторы и не черные, и не коробочки, но мы ведь не будем отвлекаться на такие мелочи?). Действительно, вполне вероятно, что ваш маршрутизатор используется как модем или даже наоборот, в частности, если вы получили его от вашего поставщика услуг Интернета (ISP). И, конечно же, чтобы нам не спотыкаться о кабели, маршрутизатор потребительского уровня обычно поставляется со встроенной точкой беспроводного доступа (WAP). Какие бы ни были настройки вашего маршрутизатора, он является неотъемлемой частью безопасности вашей сети.
Несмотря на все те чудесные вещи, на которые он способен, о маршрутизаторе, как правило, забывают, как только он начинает выполнять свою единственно очевидную функцию – подключение вашего дома к Интернету. Лишенное малейшего очарования и спрятанное в дальнем углу или на самой верхней полке, это устройство тихо делает свое дело, никогда не привлекая вашего внимания, пока что-то нехорошее не происходит с вашим интернет-соединением. Что, собственно, и подводит нас к вопросу:
А зачем вообще беспокоиться о маршрутизаторах?
Говоря просто, плохо защищенный маршрутизатор может оставить все устройства в вашей сети на милость злоумышленников. И это не гипербола. Угрозы отличаются многообразием, и взломанный маршрутизатор может:
- перенаправить вас на веб-страницу, которая охотится за вашими учетными данными,
- обманным путем заставить вас установить зараженные вредоносными программами версии легального ПО,
- оказаться задействованным для проведения атак с применением технологии «незаконный посредник» (MitM) там, где вы считаете, что соединения безопасны и зашифрованы,
- быть включенным в ботнет для запуска DDoS-атак на веб-сайты или даже на элементы инфраструктуры Интернета,
- быть выбранным в качестве стартовой точки для атак на другие устройства в вашей сети,
- использоваться для слежки за вами через устройства Интернета вещей (IoT),
- быть зараженным такими вредоносными программами, как VPNFilter, или, стать жертвой еще одной новомодной угрозы – незаконно использоваться для скрытого майнинга криптовалюты.
И это далеко не полный список.
Чтобы обезопасить свой маршрутизатор и обеспечить свою безопасность от хакерских махинаций, вам необходимо получить доступ к параметрам устройства и правильно их настроить. Это задача может показаться вам сложной, но это, возможно, всего лишь страх перед неизвестным. Для большинства из нас основные средства защиты не представляют собой особых трудностей, и их достаточно, чтобы значительно повысить безопасность вашего маршрутизатора.
Доступ к параметрам администрирования вашего маршрутизатора, как правило, можно получить с помощью беспроводного подключения, введя IP-адрес маршрутизатора в адресную строку любого веб-браузера (частый IP-адрес – 192.168.1.1 или 192.168.0.1, но проверьте ярлык на своем устройстве или найдите адрес в Google). Возможно, самый лучший способ – подключить эту давно забытую и, вероятно, покрытую толстым слоем пыли вещицу к ноутбуку через кабель Ethernet и только после этого ввести IP-адрес. Во многих случаях вы даже можете получить доступ к этим параметрам через специальное приложение для смартфона.
Вот несколько обязательных условий (sine quibus non) – в дополнение к включению брандмауэра, конечно – для большей защиты маршрутизатора:
Откажитесь от настроек по умолчанию
Теперь мы можем смело начать с того места, где мы остановились на прошлой неделе: без паролей никак не обойтись, когда речь идет об обеспечении надежности и безопасности вашей сети, тем более когда мы добавим сюда Wi-Fi-соединения. Из всех параметров, предварительно настроенных для вас производителем, пароль для доступа к интерфейсу администратора маршрутизатора – это первое, что вы должны заменить надежным и уникальным паролем или парольной фразой. Также, если возможно, выберите специфическое имя пользователя вместо имени по умолчанию, которое в этом случае, как правило, имеет один из следующих пяти вариантов: ‘admin’, ‘administrator’, ‘root’, ‘user’ и никакого имени пользователя вообще.
Помимо снижения затрат для производителей, эти и некоторые другие конфигурации по умолчанию предназначены для упрощения настройки и удаленного устранения неполадок. Однако фактор удобства может создать проблемы в том, что, например, данные для входа в систему часто оказываются совершенно очевидными и общими для всех моделей маршрутизаторов и даже для марок в целом. В самом деле, данные для входа в систему предназначены для тех, у кого найдется минута или даже меньше времени на поиск в Google: достаточно попробовать одну из таких невероятно элементарных комбинаций имени пользователя/пароля (в духе ‘admin/password’). Все это целиком и полностью может относиться и к плохо настроенному маршрутизатору. В самом деле, в 2016 году тестом ESET на 12 000 домашних маршрутизаторах было установлено, что каждый седьмой такой маршрутизатор использует «широко распространенные имена пользователей и пароли по умолчанию, а также некоторые часто используемые комбинации».
Что касается маршрутизаторов, которые обеспечивают беспроводное соединение (что в настоящее время имеет место почти со всеми потребительскими маршрутизаторами), марка и модель могут быть выданы именем по умолчанию вашей беспроводной сети. Измените это имя, которое также называется идентификатором набора служб (SSID), на такое, которое не идентифицирует вас или ваше местоположение. Вы также можете остановить вещание SSID, но имейте в виду, что незваный гость, имеющий даже минимум технических познаний, сможет выудить его без труда в любом случае.
Также по умолчанию часто включена функция для безопасной настройки беспроводной сети Wi-Fi Protected Setup (WPS), которая изначально предназначалась для помощи при подключении новых устройств к сети. Однако вследствие недостатка, заложенного при ее реализации, она использует PIN-коды регистраторов, а эти коды легко взламывать и, соответственно, WPS легко обходится. В конечном итоге это создает основу для атак на ваш беспроводной пароль, или предопределенный ключ (PSK).
Еще одна функция, которая часто устанавливается на маршрутизаторах по умолчанию и представляет значительную угрозу безопасности, – это служба Universal Plug and Play (UPnP). Если вы не уверены, что вам нужна служба UPnP, которая предназначена для обеспечения бесперебойной связи между сетевыми устройствами, но не имеет какого-либо механизма аутентификации, ее следует отключить. Аналогично, отключите все протоколы и заблокируйте все ненужные порты, так как это уменьшит поверхность атаки в вашей сети.
Держитенезваных гостей на почтительном расстоянии
Когда речь идет о паролях Wi-Fi (и, следовательно, о контроле за тем, кто фактически может получить доступ к вашей беспроводной сети), у вас есть возможность проявить творческий подход. Вы можете использовать до 63 символов, но, честно говоря, в этом нет необходимости. Тем не менее, убедитесь, что ваш пароль или парольная фраза являются длинными и сложными, способными противостоять простым атакам, когда малообразованные проходимцы предпринимают бесчисленные попытки, чтобы угадать ваш пароль. И он, безусловно, должен отличаться от всех ваших прочих учетных данных для входа, в том числе тех, которые вы используете для доступа к консоли администратора маршрутизатора.
Для вашего беспроводного соединения вам также необходимо указать протокол безопасности. Выбор здесь небольшой, и единственное, что можно порекомендовать, – это WPA2, сокращение от ‘Wi-Fi Protected Access 2’. Для дома лучшим вариантом WPA2 является его персональный режим (WPA2-Personal, или WPA2-PSK), основанный на шифровании AES, которое с помощью современных вычислительных ресурсов практически не поддается взлому. Надежное беспроводное шифрование засекречивает все данные при их передаче между устройством, подключенным к Wi-Fi, и маршрутизатором, гарантируя, что незваные гости не смогут просто так прочитать их, даже если каким-то образом доберутся до них.
На вашем маршрутизаторе все еще могут быть установлены два старых режима безопасности Wi-Fi – первый вариант стандарта WPA, называемый в обиходе WPA, и воистину древний протокол Wired Equivalent Privacy (WEP). Однако использовать ни тот, ни другой нет никакого смысла, особенно легко взламываемый WEP, тем более что стандарт WPA2 является обязательным для всех сертифицированных устройств производителей, входящих в альянс совместимости беспроводного оборудования (Wi-Fi Alliance) еще с 2006 года.
Конечно, некоторые из нас с нетерпением ждут появления на рынке сетевого оборудования с поддержкой WPA3. Поскольку этот новый стандарт безопасности призван ввести несколько значительных улучшений для безопасности беспроводных сетей, включая улучшенную защиту от атак с помощью подбора паролей, появится он еще нескоро.
Обновляйтесь, обновляйтесь!
По сути, маршрутизаторы – это компьютеры, поэтому для устранения уязвимостей их прошитые операционные системы необходимо обновлять. В самом деле, маршрутизаторы печально известны тем, что их системы безопасности изобилуют лазейками, главным образом, вследствие их устаревшей прошивки, что обычно связано с тем, что мы, владельцы маршрутизаторов, никогда не устанавливаем такие обновления. Это значительно упрощает работу злоумышленникам, поскольку многие вторжения происходят за счет простого сканирования маршрутизаторов с известными прорехами в их системах безопасности.
Чтобы проверить, обновлена ли прошивка вашего маршрутизатора, перейдите в панель администратора устройства. Если у вас не современный маршрутизатор, который обновляется автоматически или уведомляет вас о новых версиях прошивки, вам нужно будет зайти на веб-сайт поставщика и проверить, доступно ли обновление. Если оно доступно, вы знаете, что делать дальше. Однако это не разовая задача, поэтому проверяйте наличие обновлений регулярно, как минимум, несколько раз в год.
Вполне возможно, что, поскольку производитель маршрутизатора прекратил выпуск обновлений для вашего устройства, по факту обновлений для установки может не оказаться. Это может случится, в частности, со старыми маршрутизаторами, и в этом случае вам лучше просто купить новое устройство.
В любом случае, в обновлении прошивки есть еще один плюс: помимо обновлений для устранения уязвимостей новая версия прошивки может также включать улучшения производительности и новые функции, в том числе те, которые связаны с механизмами безопасности.
Бонусные советы
А что еще можно сделать, причем с минимальными усилиями? Вот еще несколько простых советов:
Любой маршрутизатор должен позволять создание нескольких сетей, что особенно удобно при использовании легко взламываемых устройств Интернета вещей (IoT). Если у вас «умный» дом, рассмотрите возможность изолировать все эти технологии IoT в отдельной сети, чтобы их уязвимостями нельзя было воспользоваться для доступа к данным на вашем компьютере, смартфоне или устройствах хранения. Можно также настроить отдельную сеть для детей и их гаджетов.
Аналогичным образом рассмотрите возможность создания отдельной сети для гостей. Таким образом, вы предоставляете им только свое интернет-соединение, а не сеть, тем самым предотвращая риск того, что вредоносные программы, инфицировавшие их устройства, мигрируют на ваши цифровые ресурсы – и это всего лишь один из возможных сценариев, когда гость может, пусть и неосознанно, взломать вашу сеть.
Также полезно отключить удаленное управление вашим маршрутизатором, уменьшив вероятность того, что злоумышленники проникнут в него из любой точки мира, например, использовав ту или иную уязвимость. Таким образом, чтобы внести любые изменения в параметры вашего маршрутизатора потребуется физический доступ к нему.
Выводы
Тема безопасности маршрутизатора намного шире, чем то, чего мы коснулись в этой статье. Однако даже изменение нескольких параметров в «клее», который связывает все ваши устройства с доступом в Интернет в единое целое, будет иметь огромное значение для повышения общей безопасности. «Политика невмешательства», которую мы обычно применяем к нашим маршрутизаторам, может иметь очень печальные последствия.
Источник: Welivesecurity
