Сьогодні буде досить велика посада про те, як створити безпечну мережу wi-fi вдома, захистити від злому домашні комп'ютери, підключені до цієї мережі, смартфони та планшети на прикладі RT-N12VP.
Отже, попередньо усвідомимо, що захищеність вашої бездротової мережі визначається найслабшою її ланкою. Сьогодні звернемося до базових налаштувань безпеки, які у вас мають бути.
Припустимо, що вдома у вас 2 стаціонарні комп'ютери, 2 ноутбуки, 3 планшети і 4 смартфони.
Перевірте, чи антивіруси у вас встановлені на всі пристрої.
Це важливо. Якщо один із пристроїв заражений, то зараження інших — справа найближчого часу. Так, смартфони на Андроїді можуть поширювати рекламні віруси локальною мережею з великим успіхом.
Вимикаємо автоматичний пошук мереж на мобільних пристроях. Справа в тому, що ви можете стати жертвою шахраїв, які спеціально створюють відкриті точки доступу з метою розкрадання даних.
Очищайте список мереж, які запам'ятовуються вашими пристроями. Залишіть лише знайомі безпечні мережі: домашню, робочу.
Для запобігання розкраданню коштів, «відведення» облікових записів пошти, соціальних мереж та інших сайтів, користуйтеся, де можливо, двофакторною автентифікацією.
Добре, пристрої ви захистили, на вудку шахраїв із «безкоштовним» wi-fi не потрапили. Що далі? Налаштовуємо безпечний wi-fi.
Центр вашого всесвіту wi-fi у квартирі – ваша точка доступу (роутер). У переважній більшості випадків вона захищена лише паролем та логіном. Спробуємо зробити вашу домашню wi-fi мережу більш захищеною.
Встановлюємо Метод автентифікації(Рівень безпеки) - WPA2-Personal
Ключ WPA-PSK(пароль мережі) - типу такого FD5#2dsa/dSx8z0*65FdqZzb38. Так, такий пароль складно запам'ятати, але й важче підібрати. Справа в тому, що існують програми підбору паролів wi-fi шляхом повного перебору. Підбір пароля в такому разі – справа часу. Навіть на смартфон можна завантажити подібну програму, наприклад, і спробувати, скільки часу пройде перш ніж ви підберете пароль до своєї мережі.
Переходимо в налаштування Бездротова мережа — Фільтр MAC-адрес бездротової мережі
Фільтр MAC-адрес бездротової мережі дозволяє керувати пакетами від пристроїв з певною MAC-адресою бездротової ЛОМ.
Говорячи простіше, до вашої точки доступу можуть підключитися лише ті пристрої, MAC-адреси яких дозволені для підключення. Як з'ясувати ці адреси? Можна переглянути налаштування пристроїв і вписати в налаштування роутера. Можна вмикати wi-fi по черзі на кожному, звіряти дані з даними, які відобразилися в карті мережі роутера і вводити ці адреси у Фільтр MAC-адрес бездротової мережі.
На смартфоні Андроїд MAC адреса знаходиться Налаштування -> Про телефон -> Загальна інформація ->МАС-адреса Wi-Fi.
Якщо ви живете один або, принаймні, є проміжок часу, коли ви не користуєтеся бездротовою мережею, можна її відключити. Ці параметри знаходяться в розділі Бездротова мережа — Професійно
Також у розділі Адміністрація —Системавідключаємо доступ через Telnetі веб-доступ із WAN. Таким чином, віддалено підключитися до роутера буде важко. Якщо в налаштуваннях є брандмауер, то вмикаємо його.
Далі буде.
(3 оцінок, середнє: 4,33 із 5)
Антон Третьяк Антон Третьяк [email protected] Administrator сайт - огляди, інструкції, лайфхаки
19.10.16 62 705 0
Як захистити домашній роутер від хакерів та сусідів
Чому широта душі може коштувати вам гроші
Євген не поставив пароль на вайфай у своїй квартирі. Навіщо морочитися? Пароль можна забути. А те, що сусіди можуть користуватися - не шкода, все одно інтернет безлімітний. Так думає Євген, і він помиляється.
Микола Кругліков
юний хакер
Розберемося, чому відкритий інтернет вдома – погана ідея і чим це може загрожувати.
Прослуховування
Точки доступу без пароля ще називають відкритими, і справа тут не лише у паролі. У таких точках дані вайфаю передаються без шифрування, у відкритому вигляді. Оскільки вайфай – ті ж радіохвилі, перехопити трафік дуже легко: достатньо налаштувати антену на потрібну частоту і ви почуєте все, що передається між роутером та комп'ютером. Без пароля на роутері ви просто транслюєте всю округу, що ви зараз робите в інтернеті.
Якщо ви сидите на порносайте, будь-який ваш сусід зможе дізнатися, який саме ролик ви дивитеся. Якщо надсилаєте листа, з великою ймовірністю його можна буде перехопити в момент відправлення. Якщо у вас «Вконтакте» без шифрування, будь-який сусід зможе прочитати ваші особисті повідомлення.
Вайфай без пароля легко прослухати
Як захиститись
Потрібно встановити пароль на вайфай. Звичайно, з'єднання з деякими сайтами шифруються за допомогою HTTPS, а ще можна включити VPN, і все ж таки набагато надійніше захистити відразу весь канал зв'язку.
Вправа: ставимо пароль на вайфай
- Відкрийте браузер та введіть в адресний рядок цифри 192.168.0.1. Якщо нічого не сталося, спробуйте 192.168.1.1 та 10.0.0.1. З'явиться віконце з полями для логіну та пароля.
- Введіть логін admin та пароль admin. Якщо не підійшли - перегляньте стандартний пароль в інструкції до роутера. Швидше за все це щось просте. Іноді логін та пароль написані прямо на корпусі роутера.
- Знайдіть на сторінці посилання з написом Wi-Fi або Wireless. Відкриється екран, де можна змінити пароль.
Якщо нічого не виходить, викличте майстра. Завдання майстру - запоролити ваш вайфай.
Встановіть для вайфаю пароль довжиною не менше десяти символів із цифр та літер. Пароль 12345678 - те ж, що відсутність пароля.
Усі інструкції розраховані на домашній роутер. На роботі чи в кафе вони навряд чи спрацюють, тому що мережеві адміністратори відключають доступ до налаштувань роутера для сторонніх.
Можливо, у налаштуваннях буде кілька варіантів шифрування. У кожному роутері різний набір опцій, тому виберіть варіант найбільш схожий на WPA2-PSK (AES). Це найнадійніший на сьогоднішній день протокол шифрування. У поєднанні з хорошим паролем він дасть вам максимальний захист.
Надійний протокол шифрування – це важливо. Поганий протокол, як і поганий пароль, полегшує зламування. Наприклад, застарілий протокол WEP можна зламати за кілька годин.
Вибір алгоритму шифрування у налаштуваннях роутера. WPA2-PSK - найкращий варіант з цього набору
Перевірте, чи вимкнено WPS. Ця технологія дозволяє підключатися до роутера з піну з восьми цифр. На жаль, після масового впровадження WPS з'ясувалося, що він вкрай небезпечний: потрібно лише 10 годин, щоб зламати з'єднання навіть із найнадійнішим протоколом. Налаштування WPS десь там, де й налаштування вайфаю.
Маніпуляції з налаштуваннями роутера
Коли хакери підключаються до вашого вайфа, вони отримують доступ до панелі управління роутером і можуть переналаштувати його на свій лад. Щоб влізти у ваш роутер, достатньо просто підключитися до вайфаю – перебувати у квартирі необов'язково. Якийсь капосний школяр може колупатися в налаштуваннях вашого роутера прямо зараз.
Зазвичай потрапити до налаштувань роутера не так просто: потрібно ввести логін та пароль. Але у більшості людей на роутері стоять стандартні логін та пароль – admin/admin. Якщо ви не змінювали це налаштування спеціально, велика ймовірність, що будь-який хакер зможе влізти у роутер.
Отримавши доступ до панелі управління, хакери легко проведуть атаку посередника: зроблять так, щоб між вами та сайтом стояв шкідливий сервіс, який краде паролі. Наприклад, за адресою tinkoff.ru відкриватиметься не справжній, а підроблений сайт, який надсилатиме їм все, що ви вводите. Ви навіть не дізнаєтеся, що потрапили на шкідливий сервіс: він буде виглядати точно як справжній інтернет-банк і навіть пустить вас за вашим логіном і паролем. Але при цьому логін та пароль виявляться у хакерів.
Роутер із стандартними налаштуваннями легко перенаправити на підроблений сайт
Як захиститись
Змініть у налаштуваннях роутера стандартний пароль адміністратора на свій. Він має бути не менш надійним, ніж пароль від вайфаю, і при цьому має бути іншим.
Віддалений доступ
Хакери рідко цікавляться саме вами, якщо ви не топ-менеджер великої компанії. Найчастіше звичайні люди потрапляють під автоматизовані атаки, коли програма хакера шукає потенційних жертв і намагається застосувати стандартний алгоритм злому.
У деяких роутерах є можливість підключатися до веб-інтерфейсу із зовнішньої мережі - тобто зайти в налаштування роутера можна з будь-якого місця, де є інтернет, а не лише з дому.
Це означає, що на ваш роутер можуть напасти не тільки капосні школярі. Атака може відбуватися не цілеспрямовано: просто якийсь хакер у Перу сканує певний діапазон адрес на предмет відкритих роутерів. Його програма бачить ваш роутер. Підключається. Хакер навіть не знає, хто ви і де ви - він просто налаштовує переадресацію та повертається до своїх справ. І до його хакерської програми падає ваш логін від Фейсбука, наприклад.
Є найважливішим електронним пристроєм у житті. Він з'єднує більшість інших пристроїв із зовнішнім світом і саме тому становить максимальний інтерес для хакерів.
На жаль, багато роутерів для дому та малого бізнесу за замовчуванням поставляються з небезпечною конфігурацією, мають недокументовані облікові записи для управління, використовують застарілі служби та працюють на старих версіях прошивок, які легко зламати за допомогою давно відомих прийомів. Частину з перелічених проблем самі користувачі, на жаль, виправити не зуміють, але можна зробити цілий ряд дій, щоб захистити ці пристрої як мінімум від великомасштабних автоматизованих атак.
Основні дії
Уникайте використання роутерів, які надаються провайдерами. По-перше, вони часто дорожчі. Але це не найбільша проблема. Такі маршрутизатори зазвичай менш захищені, ніж ті моделі, які продають виробники в магазинах. Дуже часто вони містять жорстко запрограмовані облікові дані для віддаленої підтримки, які користувачі не можуть змінювати. Оновлення для змінених версій прошивок часто відстають від релізів для комерційних роутерів.
Змініть пароль адміністратора за промовчанням. Багато роутерів постачаються з типовими паролями адміністратора (admin/admin), і зловмисники постійно намагаються увійти на пристрої, використовуючи ці відомі облікові дані. Після підключення до інтерфейсу керування маршрутизатора через браузер вперше - його IP-адреса зазвичай знаходиться на наклейці з нижньої сторони або в посібнику користувача - перше, що вам потрібно зробити, це змінити пароль.
Крім того, веб-інтерфейс маршрутизатора керування не повинен бути доступним з Інтернету. Для більшості користувачів керувати роутером ззовні локальної мережі просто не потрібно. Однак якщо у вас є потреба у віддаленому управлінні , розгляньте можливість використовувати VPN для створення захищеного каналу підключення до локальної мережі і тільки потім звертайтеся до інтерфейсу маршрутизатора.
Навіть усередині локальної мережі варто обмежити спектр IP-адрес, з яких можна керувати маршрутизатором. Якщо цей параметр доступний у вашій моделі, краще дозволити доступ з однієї IP-адреси, яка не входить до пулу IP-адрес, що призначаються роутером через DHCP (протокол динамічної конфігурації хостів). Наприклад, ви можете налаштувати DHCP-сервер маршрутизатора для призначення IP-адрес від 192.168.0.1 до 192.168.0.50, а потім налаштувати веб-інтерфейс, щоб він приймав адміністратора лише з адреси 192.168.0.53. Комп'ютер повинен бути налаштований вручну, щоб використовувати цю адресу лише в тому випадку, коли потрібно адмініструвати роутер.
Увімкніть доступ до інтерфейсу маршрутизатора за протоколом https, якщо є підтримка захищеного з'єднання, і завжди виходьте, закриваючи сесію після завершення налаштування. Використовуйте браузер у режимі інкогніто або приватному режимі, щоб Cookies не зберігалися в автоматичному режимі, і ніколи не дозволяйте браузеру зберігати ім'я користувача та пароль інтерфейсу роутера.
Якщо це можливо, змініть IP-адресу роутера. Найчастіше роутерам призначається перша адреса в визначеному діапазоні, наприклад, 192.168.0.1. Якщо така опція доступна, змініть його на 192.168.0.99 або на якусь іншу адресу, яку легко запам'ятати та яка не є частиною пулу DHCP. До речі, весь спектр адрес використовуваних маршрутизатором також може бути змінений. Це дозволяє захиститися від фальшивих міжсайтових запитів (CSRF), коли атака відбувається через браузери користувачів та із застосуванням типової IP-адреси, яка зазвичай присвоюється таким пристроям.
Створюйте складний пароль до Wi-Fi і вибирайте надійний захист протоколу. Протокол WPA2 (Wi-Fi Protected Access 2) кращий за старі WPA і WEP, які більш вразливі для атак. Якщо роутер надає таку можливість, створіть бездротову гостьову мережу, також захистивши її WPA2 і складним паролем. Нехай відвідувачі або друзі використовують цей ізольований сегмент гостьової мережі, а не вашу основну мережу. У них може і не бути злого наміру, але їх пристрої можуть бути зламані чи заражені програмами-зловмисниками.
Вимкніть функцію WPS. Ця функція, що рідко використовується, призначена для того, щоб допомогти користувачам налаштувати Wi-Fi, використовуючи PIN-код, надрукований на наклейці роутера. Однак у багатьох реалізаціях версій WPS, що надаються різними постачальниками, кілька років тому було знайдено серйозну вразливість, яка дозволяє хакерам зламувати мережі. І оскільки буде важко визначити, які конкретно моделі роутерів та версії прошивки вразливі, краще просто відключити цю функцію на роутері, якщо він дозволяє це зробити. Натомість можна підключитися до маршрутизатора через дротове з'єднання та через веб-інтерфейс керування, наприклад, налаштувати Wi-Fi з WPA2 та пароль користувача (без WPS взагалі).
Чим менше сервісів вашого роутера відкриті для Інтернету, тим краще. Це особливо правильно в тих випадках, коли не ви їх включили, а можливо, навіть не знаєте, що вони роблять. Такі сервіси, як Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell) і HNAP (Home Network Administration Protocol) взагалі не повинні активуватися для зовнішньої мережі, оскільки вони потенційно несуть у собі ризики для безпеки. Втім, вони також повинні бути вимкнені і в локальній мережі, якщо ви їх не використовуєте. Онлайн-сервіси, як Shields UP від Gibson Research Corporation (GRC), можуть просто сканувати публічну IP-адресу вашого роутера в пошуку відкритих портів. До речі, Shields Up може вести окремо сканування саме для UPnP.
Слідкуйте, щоб прошивка вашого роутера була свіжою. Одні роутери дозволяють перевірити оновлення прошивки прямо з інтерфейсу, а інші навіть мають функцію автоматичного оновлення. Але іноді ці перевірки можуть відбуватися некоректно через зміни на серверах виробника, наприклад, через кілька років. Тому варто регулярно перевіряти сайт виробника вручну, щоб дізнатися, чи не з'явилося оновлення прошивки для вашої моделі роутера.
Більш складні дії
Ви можете використовувати сегментацію мережі, щоб ізолювати її від ризикованого пристрою. Деякі споживчі роутери дозволяють створювати мережі VLAN (віртуальні локальні мережі) всередині великої приватної мережі. Такі віртуальні мережі можна використовувати для ізоляції пристроїв з категорії Інтернету Речів (IoT), які бувають сповнені вразливостей, що неодноразово доводили дослідники (Берд Ківі розглядав цю проблему в попередньому номері "Міру ПК" - прим.ред.). Багато пристроїв IoT можна керувати за допомогою смартфона через зовнішні хмарні сервіси. Оскільки вони мають доступ до Інтернету, такі апарати після початкового налаштування не повинні взаємодіяти зі смартфонами безпосередньо по локальній мережі. Пристрої IoT часто використовують незахищені адміністративні протоколи для локальної мережі, так що зловмисник зможе легко зламати такий пристрій, використовуючи заражений комп'ютер, якщо вони обидва знаходяться в одній мережі.
Завдяки фільтрації MAC-адрес можна не допустити небезпечні пристрої у мережу Wi-Fi. Багато роутерів дозволяють обмежити перелік пристроїв, що мають право входити в мережу Wi-Fi, за їх MAC-адресою - унікальним ідентифікатором фізичної мережевої карти. Увімкнення цієї функції не дозволить атакуючому підключитися до Wi-Fi мережі навіть якщо він зуміє вкрасти або підібрати пароль. Недоліком такого підходу є те, що ручне керування списком дозволених пристроїв може швидко стати надмірним адміністративним навантаженням для великих мереж.
Перекидання портів має бути використане лише у поєднанні з IP-фільтрацією. Сервіси, запущені на комп'ютері за роутером, не будуть доступні з Інтернету, якщо на роутері не визначено правила переадресації портів. Багато програм намагаються відкрити порти роутера автоматично через UPnP, що завжди безпечно. Якщо ви вимкнете UPnP, ці правила можна буде додати вручну. Причому деякі роутери навіть дозволяють вказати IP-адресу або цілий блок адрес, які можуть підключатися до певного порту, щоб отримати доступ до того чи іншого сервісу в мережі. Наприклад, якщо ви хочете отримати доступ до FTP-сервера на вашому домашньому комп'ютері, перебуваючи на роботі, то можете створити правило прокидання порту 21 (FTP) у вашому роутері, але дозволити підключення тільки з блоку IP-адрес вашої фірми.
Кастомні прошивки можуть бути безпечнішими, ніж заводські. Існує кілька заснованих на Linux і проектів прошивок, що підтримуються спільнотою, для широкого спектру домашніх роутерів. Вони, як правило, пропонують розширені функції та налаштування в порівнянні з наявними у заводської прошивки, а спільнота швидше виправляє їх недоліки, ніж самі виробники роутерів. Оскільки ці мікропрограми позиціонуються для ентузіастів, кількість пристроїв, що їх використовують, набагато менша, ніж пристроїв з прошивкою від виробника. Це значно знижує можливість великих атак на кастомні прошивки. Тим не менш, дуже важливо мати на увазі, що завантаження прошивки на роутер вимагає хороших технічних знань. Цілком імовірно, що ви втратите гарантію, і в разі помилки пристрій може вийти з ладу. Врахуйте це, адже ви були попереджені!
Як захиститись
Перевірте, чи увімкнено функцію віддаленого доступу у вашому роутері. Вона часто є в пристроях, які пропонують провайдери зв'язку. Провайдерам віддалений доступ потрібен для справи: так їм легше допомагати користувачам з налаштуванням мережі. Проте провайдери можуть залишити у веб-інтерфейсі пароль за замовчуванням, що робить вас легкою здобиччю програм хакерів.
Якщо ви можете зайти до веб-інтерфейсу зі стандартним логіном і паролем admin/admin, обов'язково поміняйте пароль і запишіть його. Коли провайдер налаштовуватиме ваш роутер віддалено, просто скажіть, що змінили пароль з міркувань безпеки, і продиктуйте його оператору.
Інструкція із захисту роутера
- Поставте на вайфай надійний пароль.
- Змініть стандартний пароль адміністратора.
- Якщо роутер немає від провайдера, відключіть віддалений доступ.
- Якщо не знаєте, як це зробити, викличте комп'ютерного майстра, якому ви довіряєте.
Думаєте якщо ваш домашній WiFi захищений надійним паролем це позбавить вас від халявщиків. Поспішаю вас розчарувати. Це не зовсім так. Який би крутий не був ваш пароль - ризик підключення третіх осіб дуже великий.
Як у Росії люблять халяву, мені вам не треба пояснювати). Саме вона народжує так багато геніальних ідей. Якщо для одних така ідея добре, то для інших може стати справжнім головним болем.
Чим може обернутися відсутність захисту бездротового з'єднання?
Тут все залежить від фантазії халявника. В одному випадку це нешкідливе використання трафіку, в іншому – доступ до ваших даних, як самого комп'ютера, так і інтернет ресурсів (пошти, соціальних мереж та ін.)
Як убезпечити домашній WiFi від підключення третіх осіб?
Насправді, зламати можна що завгодно, але дотримання елементарних норм безпеки може дуже надовго відбити подібне бажання і точно не стати жертвою любителя. Розглянемо два простих способи. Перший і найбільш очевидний, який я рекомендую, це правильне налаштування роутера, другий - використання спеціальних програм.
Налаштування роутера
Головна вразливість wifi – це протокол wps. Якщо він не задіяний, то турбується практично нема про що. З іншого боку, якщо його не можна відключити, все інше — це напівзаходи для вашого самозаспокоєння.
а) Для шифрування використовуйте алгоритм WPA2. Звичайно, можна зламати і wpa2, Але ресурси і витрачене цей час непорівнянні з метою. Тому якщо ви не агент спецслужб, кому це треба. Якщо ваш пристрій не підтримує цю технологію, подумайте двічі, адже під загрозою безпека домашньої мережі.
б) Використовуйте надійний пароль. Про важливість надійного пароля я написав цілу книгу, забрати яку можна, крім цього, рекомендую прочитати статтю. Як правило, доступ до налаштувань роутера можна отримати, ввівши в адресному рядку браузера. 192.168.1.1 , де ім'я користувача/пароль → admin та 1234 відповідно. Такі паролі зламуються за лічені секунди. Використовуйте комбінацію хоча б із 8 символів (цифри, літери, знаки).
c) Приховуємо ім'я мережі(Приховати SSID). Цей пункт є обов'язковим, оскільки вважається малоефективним, але й буде зайвим. У налаштуваннях роутера виберіть «Приховати SSID». Це ім'я вашої мережі, яке ми бачимо, скануючи простір у пошуках WiFi мереж. Знаючи ім'я можна підключитися до тієї чи іншої мережі WiFi. У властивостях бездротової мережі (вкладка «підключення») виберіть наступні настройки.
Ну, і насамкінець - для параноїків шанувальників тотальної безпеки: можна налаштувати мережу так, щоб доступ був тільки у певних пристроїв, а решта, навіть минулі 2 попередні рівні, все одно в мережу не допускалися. Для цього є фільтри за МАС-адресами пристроїв.
Назви розділів та опцій у різних роутерів та точок доступу – різні, але зміст залишається тим самим.
Другий спосіб → використання спеціальних програм, як приклад утиліта . Програма створена на допомогу власникам домашніх хотспотів WiFi, які хочуть контролювати підключення сторонніх пристроїв. Програма працює під Windows, Mac OS X та Linux.
Програма відображає список задіяних пристроїв. Зелений колір → дозволені/знайомі пристрої, червоний → незнайомі.
Загальні рекомендації. Намагайтеся не користуватися «спільним доступом» до папок, файлів та принтерів, а якщо і відкриваєте його – закривайте відразу ж, як тільки в ньому не буде потреби. До речі, перевірити це можна так: панель керування → центр керування мережами та загальним доступом.
