Как защитить роутер? Советы по защите домашней сети от ESET.

Киев, 05  февраля  2019 г.

Сегодня роутер является центральным устройством в каждом доме, поскольку через роутер проходит весь трафик домашней сети. Именно поэтому от него часто зависит безопасность всей домашней сети, а недостаточная защитароутера может поставить под угрозу другие Ваши устройства.

Основные угрозы для безопасности данных пользователя

После заражения угрозой роутер может:

• перенаправлять на веб-страницы, которые похищают учетные данные
• заманивать Вас устанавливать вредоносные программы
• проводить MITM-атаки
• стать частью ботнета для запуска DDoS-атак на сайты или даже на инфраструктуру Интернета
• использоваться для атак на другие устройства
• быть инструментом для шпионажа через Интернет вещей (IoT)
• использоваться для скрытого майнинга криптовалют.

Чтобы улучшить защиту роутера от хакеров, необходимо правильно настроить его параметры.

К настройкам администратора, как правило, можно получить доступ с помощью беспроводного соединения, введя IP-адрес роутера в строку URL-адреса веб-браузера. Часто в настройки можно зайти с помощью специального приложения для смартфонов.

Изменяем настройки для усиления защиты роутера

Из всех настроек по умолчанию пароль для доступа к интерфейсу администратора роутера должен быть изменен в первую очередь. В частности, для надежной защиты роутера подберите сильную и уникальную ключевую фразу вместо стандартного имени пользователя вроде «admin», «administrator», «root», «user».

Кроме снижения расходов для производителей, эти и другие настройки по умолчанию предназначены для облегчения удаленного устранения неисправностей. Однако если не изменить их, можно столкнуться с рядом проблем. Например, регистрационные данные часто очевидны и общие для отдельных моделей и даже целых брендов.

Поэтому учетные данные можно легко найти в Интернете или отгадать, попробовав наиболее распространенные комбинации, например, «admin/password».

Кроме этого, часто названием беспроводной сети является бренд и модель. Измените это имя, а именно Service Set Identifier (SSID), на то, что не идентифицирует Вас или Ваше местоположение.

Также по умолчанию часто включена функция под названием Wi-Fi Protected Setup (WPS), которая предназначена для помощи в подключении новых устройств. Однако в связи с недостатками внедрения, WPS может быть легко использован для вредоносных целей, в частности для осуществления атак на пароль.

Другой особенностью, которая часто используется по умолчанию в роутерах и представляет значительный риск для безопасности, является Universal Plug and Play (UPnP). В случае отсутствия потребности в UPnP, который предназначен для обеспечения беспрепятственной связи между устройствами, лучше его выключить. Также для предотвращения потенциальных атак и защиты роутера стоит выключить все протоколы и порты, которые не используются.

Обеспечиваем защиту роутера от атак злоумышленников

Необходимо обеспечить защиту Wi-Fi с помощью настройки сложного и надежного пароля. Комбинация должна отличаться от всех других регистрационных данных пользователя, в том числе и пароля для доступа к консоли администратора роутера.

Кроме этого, необходимо указать протокол безопасности для беспроводного соединения. Единственным вариантом, который можно порекомендовать, является WPA2. Для домашних пользователей лучший вариант — персональный режим (WPA2-Personal или WPA2-PSK) WPA2, который дополнен шифрованием AES. Надежное шифрование защищает все данные при передаче между подключенным к Wi-Fi компьютером или мобильным устройством и роутером. Таким образом, злоумышленники не смогут просмотреть информацию, даже если она попала в руки киберпреступников.

На роутерах все еще могут быть доступны два старых режима безопасности Wi-Fi — WPA и WEP. Однако, их не стоит использовать, особенно последний. Поскольку WPA2 был обязательным для всех сертифицированных аппаратных средств Wi-Fi еще в 2006 году.

Некоторые с нетерпением ждут появления на рынке сетевого оборудования с поддержкой WPA3. Этот новый стандарт будет содержать значительные усовершенствования беспроводной связи, включая лучшую защиту от атак с использованием подбора пароля, быстрой разработки новинки ожидать не стоит.

Применяем регулярные обновления

Встроенное программное обеспечение роутеров, как и программное обеспечения компьютеров, требует регулярного обновления. Устройства могут содержать

уязвимости из-за отсутствия обновлений встроенного программного обеспечения. Это позволяет злоумышленникам легко проникнуть внутрь сети, тогда как известные проблемы безопасности можно предотвратить с помощью простого сканирования на наличие известных уязвимостей.

Для проверки актуальности обновлений перейдите к административной панели роутера. Современные модели обновляются автоматически или сообщают о новых версиях прошивки, тогда как для применения исправления на устаревших моделях нужно посетить сайт поставщика и проверить доступность обновления. Такие действия необходимо делать регулярно, по крайней мере, несколько раз в год, чтобы обеспечить защиту роутера от новых уязвимостей.

Вполне возможно, что производитель прекратил выпускать обновления для Вашей модели, поэтому на нее не может быть установлено никаких обновлений.

Кроме исправления уязвимостей, новая версия встроенного программного обеспечения может также обладать лучшею производительностью и новыми функциями, включая те, которые связаны с механизмами безопасности.

Создаем отдельные сети для различных устройств

Любой роутер позволяет создавать несколько сетей, что особенно удобно при использовании Интернета вещей (IoT). В случае использования технологий смарт-дома нужно вынести все устройства Интернета вещей в отдельную подсеть, чтобы их уязвимости не могли быть использованы для доступа к данным на компьютере, смартфоне или других гаджетов для хранения данных. Для дополнительной защиты роутера Вы также можете создать отдельную подсеть для детей и гостей. Таким образом, возможно предотвратить риск доступа вредоносного программного обеспечения к Вашим цифровым файлам.

Также рекомендуется выключить удаленное управление роутером, чтобы уменьшить шансы преступников получить доступ к нему из любой точки мира, например, путем использования уязвимостей. Таким образом, для внесения любых изменений в настройки нужен физический доступ к роутеру.

На самом деле способов обеспечения защиты роутера значительно больше, чем было рассмотрено выше. Однако даже настройки нескольких параметров значительно улучшит общую безопасность домашней сети. Тогда как пренебрежение этими рекомендациями может привести не только к получению доступа киберпреступников к личным данным, но и использование Вашей сети для осуществления массовых атак и распространения угроз.

как обезопасить домашнюю сеть от хакеров

Все разработчики антивирусов сходятся в одном: IoT-уст­ройства, такие как IP-камеры и Smart-системы отопления, представляют собой серьезную угрозу безопасности, поскольку большинство из них поставляется без какой-либо защиты от хакерских атак.

Даже такая крупная компания, как Philips, постоянно обнаруживает уязвимости в своей умной системе освещения Hue.

Причина этого общего недостатка заключается в том, что пока не существует консенсуса по вопросу, как обезопасить такие устройства, поскольку ни на одном из IoT-компонентов не работает ни один антивирус. Одним из вариантов защиты оборудования могло бы стать построение дорогостоящей профессиональной сети, как это происходит в бизнес-среде.

Отключите все возможности удаленного доступа к вашему роутеру. Через необходимые для этого порты хакеры проводят свои атаки

Для обычного пользователя это решение не подходит, однако CHIP вам поможет: в данной статье мы расскажем, как с помощью стандартных роутеров настроить виртуальные беспроводные сети с усиленной защитой, которые не пропустят ни единого хакера. Даже пользователи моделей от Keenetic с помощью правильной конфигурации сделают свои умные устройства неуязвимыми.

Кроме того, мы продемонстрируем, как использовать профессиональные сервисы, чтобы провести пробную хакерскую атаку на свой маршрутизатор.

Миллиарды потенциальных целей атак

За три года число потребительских IoT-устройств выросло почти до 13 миллиардов — большинство из них, по мнению экспертов, уязвимо

Успешные атаки на интерфейсы между домашней сетью и Интернетом всегда оправдывают вложенные усилия: злоумышленники получают возможность перенаправлять веб-трафик целиком. Укрепление защиты следует начинать с роутера.

Читать далее …

Лучшей защитой от хакерских атак и манипуляций с умными устройствами является «расщепление» Wi-Fi на различные, полностью независимые друг от друга беспроводные сети.

Читать далее …

Читайте также:

Идеальные настройки роутера: устанавливаем альтернативную прошивку DD-WRT

Как обеспечить безопасность сети

Фото: компании-производители, ShutterStock/Fotodom.ru

Как обезопасить домашнюю сеть: защищаем роутер от атак

Сегодня роутер имеется буквально во всех квартирах и частных домах, ведь без интернета никуда. И от него напрямую зависит уровень безопасности домашней сети. Если роутер слабо защищен – это ставит под угрозу все подключенные к нему устройства. 

Основные виды угроз для безопасности ваших данных

Если роутер будет заражен вирусами, то вы можете столкнуться со следующими неприятными моментами как:

• перенаправление на web-страницы, похищающие учетные данные;
• принуждение к установке вредоносного ПО;
• проведение MITM-атак.

Также ваш ПК или ноутбук могут использовать для шпионажа через Интернет вещей, скрытого майнинга криптовалют или запуска DDoS-атак на сайты.

Чтобы это предотвратить, требуется грамотная настройка параметров роутера.

Повышаем уровень защиты роутера

Доступ к настройкам админа можно получить по беспроводному соединению. Для этого надо лишь ввести в браузере (в строке URL-адреса) IP-адрес вашего роутера. Это можно делать как с компьютера, так и со смартфона, заранее установив на него специальное приложение.

1. Измените пароль

В первую очередь надо изменить пароль. Ведь стандартные комбинации вроде «admin», «administrator» или «user» знают все, и путем простого перебора определить ваш вариант несложно.

Для надежной защиты придумайте длинный пароль на 10-15 символов, состоящий из больших и маленьких букв, цифр, специальных символов. Либо воспользуйтесь любым генератором паролей.

Зачем это нужно? Дело в том, что у отдельных моделей и даже целых брендов имеются одинаковые регистрационные данные. Одни пользователи легко могут найти логин и пароль в интернете, а другие – просто отгадать, перепробовав наиболее распространенные варианты, которые они знают по опыту.

2. Измените название сети

Далее необходимо изменить название беспроводной сети. Обычно оно содержит в себе бренд и модель роутера. Понятно, что светить такую информацию – это лишнее. И выбирайте такое название, по которому будет трудно идентифицировать вас или ваше местоположение.

3.

Отключите WPS

По умолчанию у многих роутеров включена опция Wi-Fi Protected Setup (WPS). Предназначена она для упрощенного подключения новых устройств. Но WPS могут использовать и злоумышленники – например, чтобы осуществить атаку на пароль.

4. Отключите UPnP

Также в роутерах по умолчанию используется функция Universal Plug and Play. Используется она для обеспечения нормальной связи между устройствами. Если UPnP вам не нужна, то лучшее ее отключить.

И дополнительно рекомендуется выключить все неиспользуемые протоколы и порты. Тем самым вы сможете предотвратить потенциальные атаки и повысить уровень защиты роутера.

Защищаем роутер от атак злоумышленников

1. Придумайте сложный и надежный пароль. Он должен отличаться от других вашей паролей, в том числе от той комбинации, которая используется для доступа к консоли администратора роутера.
2. Укажите протокол безопасности для Wi-Fi соединения. Единственно хорошим вариантом считается WPA2. Для домашней сети оптимальным будет персональный режим (WPA2-Personal или WPA2-PSK), так как он дополнен шифрованием AES. Шифрование защитит данные при передаче между ПК/смартфоном и роутером – даже если злоумышленник их перехватит, то посмотреть не сможет.
3. Не пользуйтесь старыми режимами безопасности Wi-Fi. К таковым относятся WPA и WEP. Есть WPA2 – ним и пользуйтесь.

Регулярное обновление ПО

Встроенное ПО роутера надо постоянно обновлять – как и на любом компьютере. Без обновлений могут появиться уязвимости, что позволит злоумышленникам легко проникнуть внутрь вашей сети.

Чтобы проверить актуальность обновлений, надо зайти в административную панель роутера. Современные модели обновляются в автоматическом режиме либо оповещают о выходе новой прошивки. На старых роутерах все надо делать вручную: заходить на сайт производителя и проверять, не появилось ли новое обновление.

Обновлять ПО нужно регулярно – как минимум пару раз в год. Только так можно защитить роутер от новых уязвимостей. Правда, бывает так, что для слишком старых моделей производитель уже не выпускает обновления. В этом случае рекомендуется купить новый роутер, поскольку другим способом защитить домашнюю сеть не получится.

Не забывайте, что помимо исправления уязвимостей регулярные обновления ПО улучшают производительность и добавляют новые функции – в том числе те, которые связаны с безопасностью. Это и делает их столь важными.

Создание отдельных сетей для разных устройств

Любой роутер поддерживает возможность создания нескольких сетей. Особенно это удобно при использовании Интернета вещей (IoT). Ведь в данном случае при применении технологии smart-дома надо выносить все устройства в отдельную подсеть – чтобы никто не смог воспользоваться их уязвимостями для получения данных на ПК или мобильных гаджетах. А для более высокой защиты роутера можно создать отдельную гостевую подсеть. Таким образом вы предотвратите риск доступа вредоносного ПО к важным файлам.

Кроме того, желательно выключить удаленное управление роутером. Так злоумышленникам будет труднее взломать устройство, ведь изменить какие-то параметры можно будет только при наличии физического доступа.

Заключение

Выше был перечислен далеко не полный список способов повышения уровня защиты роутера. Но и эти простые настройки помогут обезопасить вашу домашнюю сеть. Если же их проигнорировать, тогда злоумышленники могут не только получить доступ к личным данным, но и использовать вашу сеть для массовых атак и распространения других угроз.

Как настроить свой домашний роутер для защиты от атак

Чтобы сохранить Ваши электронные устройства в безопасности, важно не только знать про кибер-атаки, которые распространяются через электронные письма или вредоносные сайты. Вам также необходимо обращать внимание на Ваш роутер, который предоставляет Вам доступ в Интернет, т. к. он может быть атакован кибер-преступниками.

В последнее время подобное оборудование все чаще и чаще используется для распространения атак. В подтверждении этих слов заключения двух испанских организаций – Института национальной кибер-безопасности (INCIBE) и Бюро по вопросам безопасности Интернета (OSI).

Они основывают свои предупреждения на информации, полученной INCIBEза последние несколько недель. Эксперты этой организации обнаружили, что количество ежедневных атак на роутеры существенно возросло, достигнув 5000. Кибер-преступники пытаются установить на устройство определенный тип вредоносных программ и сделать его составной частью бот-сети, благодаря которой они выполняют свои DDoS-атаки.

DDoS-атаки используют группу компьютеров и других устройств с доступом в Интернет, чтобы «завалить» запросами интересующий сервер, на веб-страницах которого хранятся какие-нибудь файлы. В результате такой атаки сервер перестает работать и становится недоступным для других.

Каждый взломанный роутер активировал опцию удаленного администрирования, которая разрешает к нему доступ пользователей, находящихся за пределами сети, и позволяет контролировать его настройки с любого IP-адреса.

 Кроме этого, INCIBEуказала на то, что владельцы таких устройств не меняли регистрационные доступы, которые были установлены по умолчанию (имя пользователя и пароль). Сохранив первоначальные настройки по умолчанию, для хакеров не составило никакого труда удаленно подключиться к ним.

 Эти факторы позволяют кибер-преступникам изменять рабочие параметры роутера и устанавливать доступ к локальной сети. Позже им достаточно только установить вредоносную программу, которая заставит роутер работать в качестве бота, осуществляя массовые атаки.

 

·         Во избежание атак на Ваш роутер OSIпредлагает изменить регистрационные данные для доступа к роутеру и использовать более сложные пароли.

·         Также не рекомендуется активировать опцию удаленного администрирования, если нет такой необходимости. Если же потребность в этом возникает, то следует активировать эту опцию на максимально короткий период времени, чтобы не давать хакерам возможность его обнаружить.

·         Каждый роутер настраивается примерно одинаково, хотя интерфейс роутера и опции доступа могут различаться в зависимости от производителя. Чтобы сделать изменения, необходимо открыть веб-браузер и в адресной строке набрать IP-адрес роутера (его адрес может быть указан в руководстве пользователя, на наклейках на корпусе устройства, или Вы можете найти его в настройках подключения в Панели управления).

Если Вы узнали о наших советах поздно и Ваше устройство уже заражено, то самый простой вариант – это переустановить прошивку роутера (прошивка – это программа, которая управляет роутером), взяв ее, например, с сайта производителя роутера.

 

Panda Security вРоссии

 +7(495)105 94 51, [email protected]

 http://www.pandasecurity.com

Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.

Как защитить сети Wi-Fi

При работе в сети со слабым шифрованием ваши данные могут перехватить злоумышленники. Если вы подключаетесь к домашней сети и получаете сообщение о слабом шифровании, измените тип шифрования на более надежный. Распространенные типы шифрования беспроводных сетей: WEP, TKIP, WPA, WPA2 (AES/CCMP).

Главное отличие между ними — уровень защиты. Мы рекомендуем WPA2, так как он самый надежный из предлагаемых.

Интерфейсы роутеров различаются в зависимости от производителя, конкретной модели и версии прошивки. Чтобы ориентироваться в настройках роутера, используйте руководство пользователя для вашей модели. Как правило, оно прилагается к роутеру, или вы можете скачать его на сайте производителя устройства.

Для примера мы показываем настройку роутера TP-Link TL-WR841N. Чтобы изменить тип шифрования беспроводной сети:

1. Введите IP-адрес роутера в адресную строку браузера. Вы попадете на страницу авторизации к настройкам роутера. IP‑адрес роутера указан на задней стороне устройства и в руководстве пользователя.
2. На странице авторизации введите логин и пароль. Если вы не меняли их, они указаны на задней стороне роутера.
3. На странице настроек роутера перейдите в раздел Беспроводной режим → Защита беспроводного режима (Wireless → Wireless Security).
4. Выберите WPA/WPA2 — Personal.
5. В поле Версия (Authentication Type) выберите WPA2-PSK.
6. В поле Шифрование (Encryption) выберите AES.
7. Нажмите Сохранить (Save).

Шифрование сети Wi-Fi будет включено.

Что такое безопасность домашней сети и как защитить Wi-Fi роутер?

Защита домашней сети – это намного больше, чем установка пароля от Wi-Fi. Допустим, что в вашей семье кто-нибудь каждый день смотрит любимые передачи по Smart TV или совершает покупки онлайн, кто-то играет в игры на консоли, а кто-то удалённо работает – при всех этих процессах самые различные важные данные о вас или членах вашей семьи (личные документы, пароли, адреса, фотографии и т. д.) попадают в интернет через домашнюю сеть. 

Вы наверняка слышали о таких явлениях, как «фишинг» и «вредоносное ПО», которые используют злоумышленники для получения несанкционированного доступа в сеть с целью кражи личной информации или уничтожения данны. Но знаете ли вы, что это на самом деле и как с этим бороться?

Безопасность домашней сети — это фундамент, на котором строится защита от угроз злоумышленников. В данной статье мы постараемся осветить базовые понятия сетевой безопасности и способы её улучшения.

Как обезопасить домашнюю сеть?

Как защитить роутер

Как правило, домашняя сеть начинается с роутера и нескольких подключённых к нему устройств. Роутер отвечает за передачу данных между домашней сетью и интернетом. Wi-Fi роутер, может, и не самое яркое устройство, если сравнивать его с игровой консолью, Smart TV или планшетом, но он точно важнее их всех, когда речь заходит о защите от внешних вредоносных атак. Можно сделать ряд изменений, которые помогут обезопасить роутер от взломов хакеров или вредоносного ПО:

• Установите уникальный пароль как для сети Wi-Fi, так и для входа в сам роутер.

  Не оставляйте на роутере пароль Wi-Fi и пароль администратора по умолчанию — злоумышленники могут предпринимать множество попыток по взлому устройств с использованием этих данных, находящихся в открытом доступе. Также рекомендуется периодически менять эти пароли.

• Регулярно обновляйте прошивку роутера.

  Прошивка роутера устанавливает базовый стандарт безопасности домашней сети, определяя, какие устройства могут подключаться, а какие — нет. Для устранения обнаруженных уязвимостей новые версии прошивок содержат патчи безопасности и исправления ошибок. Лучший выбор – это роутер с автоматическим обновлением прошивки из облака. Главное, не забыть включить эту функцию.

• Создайте гостевую сеть.

  Практически к каждому периодически приходят гости, и было бы странно отказывать им в доступе к Wi-Fi, но кто знает, что может проникнуть в сеть через их устройства? Лучшее решение этой проблемы — создать гостевую сеть (если на роутере, конечно, есть такая функция). Гостевая сеть достаточно изолирована от основной сети LAN, так что у гостей будет доступ в интернет и не будет доступа к вашим личным данным. Можно пойти ещё дальше и скрыть имя (SSID) домашней сети Wi-Fi, разрешая подключение только для доверенных устройств и периодически проверяя список подключённых устройств на предмет наличия неизвестного устройства.

• Отключите функции WPS и UPnP.

  На некоторых Wi-Fi роутерах есть кнопка Pair или WPS, упрощающая подключение и позволяющая добавлять новые устройства в сеть без ввода пароля. Это, конечно, удобно, однако из-за уязвимостей через эту функцию можно получить несанкционированный доступ к домашней сети.

  Схожим образом устроена функция UPnP (Universal Plug and Play), предназначенная для упрощения подключения устройств, таких как роутеры и Smart TV, но некоторые вредоносные программы используют UPnP для получения доступа к домашней сети.

  Если вам важна безопасность сети, лучше этими функциями не пользоваться.

Как выбрать безопасный роутер

• Выбирайте роутер с WPA3.

  Для улучшения безопасности домашней сети уже сделано многое. Сегодня практически все домашние роутеры используют технологию WPA (WPA‑PSK/WPA2‑PSK) для шифрования Wi-Fi и защиты паролей, используемых в интернете. WPA3 это новейший протокол безопасности Wi-Fi представленный альянсом Wi-Fi Alliance, который обеспечивает ещё более надёжное шифрование паролей и улучшенную защиту от брутфорс‑атак. Если на домашнем роутере нет WPA3, то предыдущий стандарт WPA2-AES тоже по‑прежнему достаточно надёжен. Однако стоит всерьёз задуматься о замене роутера, если он поддерживает только устаревший протокол WEP (Wired Equivalent Privacy).

• Выбирайте роутер с антивирусом и возможностью управления безопасностью.

  Сегодня производители серьёзно относятся к безопасности, и во многих моделях есть встроенные средства безопаности и антивирусы, которые помогают предотвратить вторжения в сеть, улучшить безопасность данных и конфиденциальность, а также устранить уязвимости домашней сети. Надёжный роутер позволит забыть про все предыдущие советы. Также есть множество дополнительных средств безопасности, если не хочется расставаться с текущим роутером.

• Управляйте роутером через приложение.

  В последние годы производители роутеров всё чаще разрабатывают мобильные приложения для управления домашней сетью и стараются обходить стороной проблематичные веб-интерфейсы. Приложение для управления роутером позволяет выполнять мониторинг безопасности сети и сообщает, на что обратить внимание, посредством push-уведомлений. Благодаря приложению можно следить, кто получает доступ к устройствам, а также управлять им из телефона.

Как обезопасить доступ в интернет для близких

Было бы полезно обучить близких распознавать и избегать потенциальные сетевые угрозы. Есть множество функций родительского контроля для создания индивидуальных профилей членов семьи, позволяющих ограничить действия на их устройствах и время, проводимое в сети. Это простой способ отгородить их от сомнительных сайтов и практичный способ дисциплинировать их в интернете в зависимости от возраста.

• Установите время доступа для детей.

  По мере проникновения интернета во все сферы жизни дети всё больше времени проводят перед экраном, из-за чего они менее активны, что, в свою очередь, увеличивает риск возникновения интернет‑зависимости и проблем со здоровьем. В борьбе с этим помогут расписания и установка ограничений на время, проводимое в сети.

• Отгородите семью от непристойного контента.

  Функциональный домашний роутер с родительским контролем умеет блокировать непристойный и вредоносный контент в соответствии с библиотекой фильтров производителя. Также есть возможность ограничить доступ детей к URL‑адресам, содержащим определённые слова, и к приложениям с ограничениями по возрасту.

• Защитите IoT-устройства.

  Камеры умного дома позволяют не волноваться, когда никого нет дома, но никто не хочет, чтобы к ним появился доступ у незнакомцев, которые смогут следить за всем происходящим дома. Как правило, при попытке взлома у IoT‑устройств обнаруживается ряд уязвимостей, поэтому для таких устройств важно обеспечить дополнительную безопасность. Передовой роутер с защитой IoT‑устройств влетит в копеечку, но это того стоит, если не хочется лишаться умного дома и нужно сохранить безопасность домашней сети.

Как без труда управлять домашней сетью

Мы дали несколько советов по обеспечению безопасности домашней сети, причём большинство из них относится к роутерам с продвинутыми функциями — было бы нехорошо, если бы мы не дали рекомендации по выбору устройств. С учётом этого мы бы посоветовали приглядеться к линейке Mesh Wi-Fi устройств Deco.

Устройства TP-Link Deco — это отличное решение для простого управления безопасностью домашней сети, которое не только обеспечит Wi-Fi покрытие во всём доме с одним именем сети (SSID), но и позволит иметь доступ ко всем функциям безопасности, о которых говорилось выше.

Компания TP-Link разработала сервис HomeCare™, чтобы у устройств Deco была самая лучшая безопасность из всех домашних Wi-Fi систем, имеющихся в продаже на сегодняшний день, и чтобы каждое устройство в сети было автоматически защищено от угроз безопасности.

HomeCare™ также включает в себя мощный родительский контроль, которым легко управлять через приложение Deco, благодаря чему можно без труда составлять для семьи расписания времени, проводимого в сети, а также создать безопасную сетевую среду за счёт блокировки неподобающих сайтов с помощью продвинутой фильтрации контента.

Устройства серии Deco* поддерживают новейший протокол WPA3 и автоматическое обновление до новой версии прошивки с улучшенной безопасностью и функционалом.

Благодаря приложению Deco настройка не займёт много времени, а в случае возникновения каких-либо угроз безопасности тут же поступит уведомление.

* Для поиска совместимых моделей посетите раздел устройств с поддержкой WPA3.

Часто задаваемые вопросы

Как узнать, какой протокол безопасности используется на роутере?

Протокол безопасности роутера можно узнать через веб-интерфейс управления или приложение в разделе сетевой безопасности. Перед покупкой нового роутера не будет лишним почитать о функциях Wi-Fi безопасности на сайте производителя.

Все ли устройства Deco поддерживают HomeCare™?

В настоящее время HomeCare™ поддерживают следующие устройства: Deco X60, Deco X20, Deco M9 Plus, Deco P7 и Deco M5. Поскольку все устройства Deco работают вместе для создания единой домашней Mesh-сети Wi-Fi, можно купить одну из перечисленных моделей на роль основного роутера для защиты всей домашней сети.

Каким образом Deco защищает IoT-устройства и устройства умного дома?

TP-Link HomeCare™ выявляет проникновения, блокирует потенциальные угрозы и устраняет уязвимости сети. Заражённые устройства автоматически отправляются на карантин, благодаря чему личная информация останется в безопасности и будет остановлено дальнейшее распространение вируса на другие устройства.

Как обновить прошивку Deco?

Можно включить автоматическое обновление в приложении Deco либо посетить раздел поддержки TP-Link для загрузки последней версии прошивки и обновления Deco вручную.

Рекомендуемые устройства

Deco Wi-Fi 6

• Deco X60

  AX3000 Домашняя Mesh Wi-Fi система

• Deco X20

  AX1800 Домашняя Mesh Wi-Fi система

Deco Wi-Fi 5

• Deco M9 Plus

  AC2200 Mesh Wi-Fi система для умного дома

• Deco P7

  AC1300+AV600 Домашняя гибридная Mesh Wi-Fi система

• Deco M5

  AC1300 Домашняя Mesh Wi-Fi система

Как защитить роутер и домашнюю сеть | Мир ПК

Проблема

Многие даже не подозревают, что домашний роутер является самым важным электронным устройством в их жизни. Он соединяет большинство других устройств с внешним миром и именно поэтому представляет максимальный интерес для хакеров.

К сожалению, многие роутеры для дома и малого бизнеса по умолчанию поставляются с небезопасной конфигурацией, обладают недокументированными учетными записями для управления, используют устаревшие службы и работают на старых версиях прошивок, которые легко взломать с помощью давно известных приемов. Часть из перечисленных проблем сами пользователи, увы, исправить не сумеют, но тем не менее можно предпринять целый ряд действий, чтобы защитить эти устройства как минимум от крупномасштабных автоматизированных атак.

Основные действия

• Избегайте использования роутеров, предоставляемых провайдерами. Во-первых, они зачастую дороже. Но это не самая большая проблема. Такие маршрутизаторы, как правило, менее защищены, чем те модели, которые продают производители в магазинах. Очень часто они содержат жестко запрограммированные учетные данные для удаленной поддержки, которые пользователи не могут изменять. Обновления для измененных версий прошивок часто отстают по времени от релизов для коммерческих роутеров.

• Измените пароль администратора по умолчанию. Многие роутеры поставляются с типовыми паролями администратора (admin/admin), и злоумышленники постоянно пытаются войти на устройства, используя эти общеизвестные учетные данные. После подключения к интерфейсу управления маршрутизатора через браузер в первый раз — его IP-адрес обычно находится на наклейке с нижней стороны или в руководстве пользователя — первое, что вам нужно сделать, это изменить пароль.

• Кроме того, веб-интерфейс маршрутизатора управления не должен быть доступен из Интернета. Для большинства пользователей управлять роутером извне локальной сети просто не нужно. Однако если у вас все же есть потребность в удаленном управлении, рассмотрите возможность использовать VPN для создания защищенного канала подключения к локальной сети и только затем обращайтесь к интерфейсу маршрутизатора.

• Даже внутри локальной сети стоит ограничить спектр IP-адресов, с которых можно управлять маршрутизатором. Если этот параметр доступен в вашей модели, лучше разрешить доступ с одного IP-адреса, который не входит в пул IP-адресов, назначаемых роутером через DHCP (протокол динамической конфигурации хостов). Например, вы можете настроить DHCP-сервер маршрутизатора для назначения IP-адресов от 192.168.0.1 до 192.168.0.50, а затем настроить веб-интерфейс, чтобы он принимал администратора только с адреса 192.168.0.53. Компьютер должен быть настроен вручную, чтобы использовать этот адрес лишь в том случае, когда необходимо администрировать роутер.

• Включайте доступ к интерфейсу маршрутизатора по протоколу https, если имеется поддержка защищенного соединения, и всегда выходите, закрывая сессию по завершении настройки. Используйте браузер в режиме инкогнито или в приватном режиме, чтобы Cookies не сохранялись в автоматическом режиме, и никогда не позволяйте браузеру сохранять имя пользователя и пароль интерфейса роутера.

• Если это возможно, измените IP-адрес роутера. Чаще всего роутерам назначается первый адрес в предопределенном диапазоне, например, 192.168.0.1. Если такая опция доступна, измените его на 192.168.0.99 или на какой-либо другой адрес, который легко запомнить и который не является частью пула DHCP. Кстати, весь спектр адресов используемых маршрутизатором также может быть изменен. Это позволяет защититься от фальшивых межсайтовых запросов (CSRF), когда атака происходит через браузеры пользователей и с применением типового IP-адреса, обычно присваиваемого таким устройствам.

• Создавайте сложный пароль к Wi-Fi и выбирайте надежную защиту протокола. Протокол WPA2 (Wi-Fi Protected Access 2) лучше старых WPA и WEP, которые более уязвимы для атак. Если роутер предоставляет такую возможность, создайте гостевую беспроводную сеть, также защитив ее WPA2 и сложным паролем. Пусть посетители или друзья используют этот изолированный сегмент гостевой сети, а не вашу основную сеть. У них может и не быть злого умысла, но их устройства могут быть взломаны или заражены программами-злоумышленниками.

• Отключите функцию WPS. Эта редко используемая функция предназначена для того, чтобы помочь пользователям настроить Wi-Fi, используя PIN-код, напечатанный на наклейке роутера. Однако во многих реализациях версий WPS, предоставляемых различными поставщиками, несколько лет назад была найдена серьезная уязвимость, которая позволяет хакерам взламывать сети. И поскольку будет трудно определить, какие конкретно модели роутеров и версии прошивки уязвимы, лучше просто отключить данную функцию на роутере, если он позволяет сделать это. Вместо этого можно подключиться к маршрутизатору через проводное соединение и через веб-интерфейс управления, например, настроить Wi-Fi с WPA2 и пользовательский пароль (без WPS вообще).

• Чем меньше сервисов вашего роутера открыты для Интернета, тем лучше. Это особенно правильно в тех случаях, когда не вы включили их, а возможно, даже не знаете, что они делают. Такие сервисы, как Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell) и HNAP (Home Network Administration Protocol), вообще не должны активироваться для внешней сети, так как они потенциально несут в себе риски для безопасности. Впрочем, они также должны быть выключены и в локальной сети, если вы их не используете. Онлайн-сервисы, вроде Shields UP от Gibson Research Corporation (GRC), могут просто сканировать публичный IP-адрес вашего роутера в поиске открытых портов. Кстати, Shields Up способен вести отдельно сканирование именно для UPnP.

• Следите, чтобы прошивка вашего роутера была свежей. Одни роутеры позволяют проверить обновления прошивки прямо из интерфейса, а другие — даже имеют функцию автоматического обновления. Но иногда эти проверки могут происходить некорректно из-за изменений на серверах производителя, например, по прошествии нескольких лет. Поэтому стоит регулярно проверять сайт производителя вручную, чтобы узнать, не появилось ли там обновление прошивки для вашей модели роутера.

Более сложные действия

• Вы можете использовать сегментацию сети, чтобы изолировать ее от рискованного устройства. Некоторые потребительские роутеры предоставляют возможность создавать сети VLAN (виртуальные локальные сети) внутри крупной частной сети. Такие виртуальные сети можно использовать для изоляции устройств из категории Интернета Вещей (IoT), которые бывают полны уязвимостей, что неоднократно доказывали исследователи (Берд Киви рассматривал данную проблему в предыдущем номере «Мира ПК» — прим.ред. ). Многими устройствами IoT можно управлять с помощью смартфона через внешние облачные сервисы. А поскольку они имеют доступ к Интернету, такие аппараты после начальной настройки не должны взаимодействовать со смартфонами напрямую по локальной сети. Устройства IoT часто используют незащищенные административные протоколы для локальной сети, так что злоумышленник сумеет легко взломать такое устройство, используя зараженный компьютер, если они оба находятся в одной сети.

• Благодаря фильтрации MAC-адресов, можно не допустить опасные устройства в вашу сеть Wi-Fi. Многие роутеры позволяют ограничить перечень устройств, имеющих право входить в сеть Wi-Fi, по их MAC-адресу — уникальному идентификатору физической сетевой карты. Включение этой функции не позволит атакующему подключиться к Wi-Fi сети, даже если он сумеет украсть или подобрать пароль. Недостатком такого подхода является то, что ручное управление списком разрешенных устройств может быстро стать излишней административной нагрузкой для крупных сетей.

• Проброс портов должен быть использован только в сочетании с IP-фильтрацией. Сервисы, запущенные на компьютере за роутером, не будут доступны из Интернета, если на роутере не определены правила переадресации портов. Многие программы пытаются открыть порты роутера автоматически через UPnP, что не всегда безопасно. Если вы отключите UPnP, эти правила можно будет добавить вручную. Причем некоторые роутеры даже позволяют указать IP-адрес или целый блок адресов, которые могут подключаться к определенному порту, чтобы получить доступ к тому или иному сервису внутри сети. Например, если вы хотите получить доступ к FTP-серверу на вашем домашнем компьютере, находясь на работе, то можете создать правило проброса порта 21 (FTP) в вашем роутере, но разрешить подключения только с блока IP-адресов вашей фирмы.

• Кастомные прошивки могут быть более безопасными, чем заводские. Существует несколько основанных на Linux и поддерживаемых сообществом проектов прошивок для широкого спектра домашних роутеров. Они, как правило, предлагают расширенные функции и настройки по сравнению с имеющимися у заводской прошивки, а сообщество быстрее исправляет их недостатки, чем сами производители роутеров. Поскольку эти микропрограммы позиционируются для энтузиастов, число устройств, которые их используют, гораздо меньше, чем устройств с прошивкой от производителя. Это значительно снижает вероятность обширных атак на кастомные прошивки. Тем не менее очень важно иметь в виду, что загрузка прошивки на роутер требует хороших технических знаний. Вполне вероятно, что вы лишитесь гарантии, и в случае ошибки устройство может выйти из строя. Учтите это, ведь вы же были предупреждены!

Как защитить маршрутизатор и домашнюю сеть

Многие пользователи этого не осознают, но их интернет-маршрутизаторы могут быть самыми важными электронными устройствами, которые у них есть дома. Маршрутизаторы связывают большинство других своих устройств вместе и с внешним миром, поэтому они занимают очень привилегированное положение, которое хакеры часто пытаются использовать.

За последние несколько лет количество ботнетов, состоящих из взломанных маршрутизаторов, увеличилось, и эти ботнеты использовались как преступниками, так и изощренными злоумышленниками, спонсируемыми государством, для проведения атак на предприятия и организации.

К сожалению, многие потребительские маршрутизаторы и маршрутизаторы для малого бизнеса поставляются с небезопасными конфигурациями по умолчанию, имеют недокументированные учетные записи бэкдора, предоставляют устаревшие сервисы и имеют встроенное ПО, пронизанное основными недостатками. Пользователи не могут исправить некоторые из этих проблем, но они могут предпринять действия, чтобы, по крайней мере, защитить эти устройства от крупномасштабных автоматических атак.

Не позволяйте вашему маршрутизатору быть низко висящим плодом для хакеров.

Избегайте использования маршрутизаторов, поставляемых интернет-провайдерами.

Эти маршрутизаторы обычно менее безопасны, чем те, которые производители продают потребителям.У них часто есть жестко запрограммированные учетные данные или протоколы удаленной поддержки — TR-069, — которые пользователи не могут изменить или отключить. Патчи для своих пользовательских версий прошивки отстают от патчей, выпущенных производителями маршрутизаторов для их розничных моделей.

Если вы вынуждены использовать модем, предоставленный вашим интернет-провайдером, для включения таких сервисов, как VoIP, лучше всего настроить его в режиме моста и установить за ним собственный маршрутизатор, чтобы вы могли лучше контролировать свою сеть и то, как ваши устройства подключаются к Интернет.

Изменить пароль администратора по умолчанию

Многие маршрутизаторы поставляются с паролями администратора по умолчанию, и злоумышленники постоянно пытаются взломать устройства, используя эти общедоступные учетные данные. После первого подключения к интерфейсу управления маршрутизатора через браузер (адрес должен быть IP-адресом маршрутизатора по умолчанию, который указан на его нижней наклейке или указан в руководстве по настройке), убедитесь, что первое, что вы сделаете, это измените пароль. .

Интерфейс управления маршрутизатора не должен быть доступен из Интернета.

Для большинства пользователей управление маршрутизатором извне LAN (локальной сети) не требуется.Если необходимо удаленное управление, рассмотрите возможность использования решения VPN (виртуальной частной сети), чтобы сначала установить безопасный туннель в локальную сеть, а затем получить доступ к интерфейсу маршрутизатора изнутри.

Внутри локальной сети также хорошо ограничить, какие IP-адреса (интернет-протокол) могут управлять маршрутизатором. Если этот параметр доступен, разрешите доступ с одного IP-адреса, который не является частью пула IP-адресов, назначенных компьютерам через DHCP (протокол динамической конфигурации хоста). Например, настройте DHCP-сервер маршрутизатора так, чтобы он автоматически назначал IP-адреса из 192.От 168.0.1 до 192.168.0.50 для клиентов, а затем настройте веб-интерфейс, чтобы разрешить доступ только с 192.168.0.53. Ваш компьютер можно вручную настроить на использование этого адреса, когда вам нужно выполнять административные задачи на маршрутизаторе.

Включите HTTPS-доступ к интерфейсу маршрутизатора, если он доступен.

Всегда выходите из системы, когда ваша задача управления завершена. Используйте браузер в режиме инкогнито или в приватном режиме при работе с маршрутизатором, чтобы никакие файлы cookie сеанса не оставались позади и никогда не позволяли браузеру сохранять имя пользователя и пароль маршрутизатора.

Если возможно, измените IP-адрес локальной сети маршрутизатора по умолчанию.

Маршрутизаторам, скорее всего, будет назначен первый адрес в предварительно определенном сетевом блоке, например 192.168.0.1. Если предлагается вариант, измените его на 192.168.0.99 или на другое, которое легко запомнить и которое не является частью пула DHCP. Весь сетевой блок, используемый маршрутизатором, также можно изменить на нестандартный — например, 192.168.10.x вместо 192.168.0.x. Это защищает от атак с подделкой межсайтовых запросов (CSRF), которые захватывают браузеры пользователей при посещении вредоносных веб-сайтов и пытаются получить доступ к маршрутизаторам через них, используя IP-адреса по умолчанию, обычно назначаемые таким устройствам.

Используйте поставщика услуг DNS, ориентированного на безопасность.

По умолчанию ваш маршрутизатор будет настроен на пересылку запросов системы доменных имен (DNS) вашему интернет-провайдеру, что означает, что вы должны доверять своему интернет-провайдеру для поддержки безопасной службы поиска DNS. Поскольку DNS действует как телефонная книга в Интернете, обнаруживая IP-адреса веб-сайтов, которые вы хотите посетить, хакеры обычно нацелены на него, чтобы направлять пользователей на вредоносные веб-сайты таким образом, который обычно трудно обнаружить. Такие компании, как Google, Cloudflare, OpenDNS (Cisco) и другие, предлагают общедоступные преобразователи DNS, ориентированные на безопасность и даже имеющие зашифрованные версии.

Выберите сложный пароль Wi-Fi и надежный протокол безопасности

WPA2 (Wi-Fi Protected Access II) и более новый WPA3 должны быть вариантами выбора, поскольку старые версии WPA и WEP подвержены атакам методом грубой силы . Если маршрутизатор предлагает такую ​​возможность, создайте гостевую беспроводную сеть, также защищенную WPA2 или WPA3 и надежным паролем. Используйте эту изолированную гостевую сеть для посетителей и друзей вместо своей основной. Эти пользователи могут не иметь злонамеренных намерений, но их устройства могут быть скомпрометированы или заражены вредоносным ПО еще до того, как они посетят вашу сеть.

Отключить WPS (защищенная настройка Wi-Fi)

Это редко используемая функция, призванная помочь пользователям более легко настраивать сети Wi-Fi, обычно с помощью PIN-кода, напечатанного на наклейке. Много лет назад во многих реализациях WPS была обнаружена серьезная уязвимость, которая позволяет хакерам взламывать сети. Поскольку сложно определить, какие конкретные модели маршрутизаторов и версии прошивки уязвимы, лучше просто отключить эту функцию, если это возможно. Вместо этого вы можете подключиться к веб-интерфейсу управления маршрутизатора, чтобы настроить Wi-Fi с WPA2 и пользовательским паролем — WPS не требуется.

Ограничьте количество сервисов, которые ваш маршрутизатор использует в Интернете.

Это особенно верно, если вы сами не включили эти сервисы и не знаете, что они делают. Такие службы, как Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell) и HNAP (протокол администрирования домашней сети) не должны быть доступны из Интернета, поскольку они могут представлять серьезную угрозу безопасности. Их также следует отключить в локальной сети, если они не нужны. Онлайн-сервисы, такие как Shields UP от Gibson Research Corporation (GRC), могут сканировать общедоступный IP-адрес вашего маршрутизатора на предмет открытых портов.Shields Up также может сканировать UPnP отдельно. Бесплатные инструменты, такие как Nmap, можно использовать для сканирования интерфейса LAN маршрутизатора.

Регулярно обновляйте микропрограмму маршрутизатора.

Некоторые маршрутизаторы позволяют проверять наличие обновлений микропрограмм через интерфейс управления, а некоторые даже предлагают автоматические обновления. Однако иногда эти проверки могут быть нарушены из-за изменений, внесенных с течением времени на серверы производителя. Рекомендуется регулярно проверять веб-сайт поддержки поставщика на наличие обновлений для вашей модели маршрутизатора.Эти обновления необходимо загрузить вручную, а затем прошить через веб-интерфейс управления маршрутизатора.

Более сложные средства защиты маршрутизатора

Используйте сегментацию сети для изоляции опасных устройств

Некоторые маршрутизаторы предлагают возможность настройки VLAN (виртуальных локальных сетей), и вы можете использовать их для отделения устройств Интернета вещей (IoT) от ваши компьютеры, мобильные телефоны и другие конфиденциальные машины. За прошедшие годы исследователи показали, что в стремлении первыми выйти на рынок производители Интернета вещей не разрабатывают устройства с учетом требований безопасности, и это приводит к серьезным уязвимостям, которые хакеры могут использовать для взлома сетей и нацеливания на другие ИТ-активы.Устройства IoT также часто поставляются с незащищенными административными протоколами, доступными для локальных сетей, что делает их уязвимыми для атак со стороны зараженных вредоносным ПО компьютеров в той же сети.

Использование VLAN помогает смягчить оба сценария и не ограничивает функциональность, поскольку большинство устройств IoT управляются через приложения для смартфонов, подключенные к облачным сервисам. Если у них есть доступ в Интернет, большинству этих устройств не требуется связываться с мобильными телефонами или компьютерами напрямую через локальную сеть после первоначальной настройки.

Используйте фильтрацию MAC-адресов, чтобы не допустить попадания несанкционированных устройств в вашу сеть Wi-Fi.

Многие маршрутизаторы позволяют пользователям ограничивать, какие устройства разрешены в их сетях Wi-Fi, на основе MAC-адреса — уникального идентификатора их физической сетевой карты. Включение этой функции может предотвратить подключение злоумышленников к сети Wi-Fi, даже если они знают ее пароль. Обратной стороной является то, что занесение легальных устройств в белый список вручную может быстро стать административной нагрузкой в ​​более крупных сетях.

Объединить переадресацию портов с фильтрацией IP

Службы, работающие на компьютере за маршрутизатором, не могут быть доступны из Интернета, если на маршрутизаторе не определены правила переадресации портов.Многие программы пытаются автоматически открыть порты маршрутизатора через UPnP, что не всегда безопасно. Если UPnP отключен, правила можно добавить вручную, а некоторые маршрутизаторы предлагают возможность указать исходный IP-адрес или сетевой блок, который может подключаться к определенному порту для доступа к определенной службе внутри сети. Например, если вы хотите получить доступ к FTP-серверу на домашнем компьютере с работы, вы можете создать правило переадресации портов для порта 21 (FTP) в вашем маршрутизаторе, но разрешать соединения только из сетевого блока IP вашей компании.

Специальная прошивка может быть более безопасной, чем заводская.

Несколько поддерживаемых сообществом проектов прошивки предлагают широкий спектр домашних маршрутизаторов. OpenWRT, DD-WRT и Asuswrt-Merlin (только для маршрутизаторов Asus) являются одними из самых популярных. Эти операционные системы на базе Linux обычно предлагают более продвинутые функции и настройки, чем заводская прошивка, и их специалисты по обслуживанию быстрее исправляют недостатки при обнаружении, чем поставщики маршрутизаторов.

Поскольку эти пакеты микропрограмм предназначены для энтузиастов, количество устройств, которые их используют, намного меньше, чем тех, на которых установлено микропрограммное обеспечение поставщика.Это снижает вероятность широкомасштабных и автоматизированных атак на кастомные прошивки, но это не следует рассматривать как гарантию безопасности. Также важно помнить, что загрузка — перепрошивка — кастомной прошивки на маршрутизаторах требует изрядных технических знаний, вероятно, приведет к аннулированию гарантии и, в случае неправильного выполнения, может сделать устройства непригодными для использования.

Продлите срок службы маршрутизатора

В отличие от смартфонов, маршрутизаторы не то, что люди меняют каждые два года.Однако производители маршрутизаторов не всегда четко представляют ожидаемый срок службы своих продуктов или частоту обновлений прошивки, и пользователи могут легко попасть в ловушку, купив модель, которая уже давно присутствует на рынке и вот-вот выйдет. поддержки или уже есть. Не поддерживаемый маршрутизатор вряд ли получит какие-либо исправления безопасности, в том числе для критических уязвимостей.

Один из способов предотвратить это — при принятии решения о покупке намеренно выбрать модель маршрутизатора, которая также поддерживается сторонними прошивками, такими как OpenWRT.Это гарантирует, что по окончании официальной поддержки производителя у вас, по крайней мере, будет альтернатива исправлениям. Есть также компании, которые продают маршрутизаторы с предварительно установленной прошивкой OpenWRT или с открытым исходным кодом, так что вы можете пойти по этому пути с самого начала.

Другой вариант — выбрать маршрутизатор для малого бизнеса вместо потребительского, поскольку они обычно поддерживаются в течение более длительного времени, но могут быть и более дорогими.

Copyright © 2019 IDG Communications, Inc.

Как защитить свой домашний маршрутизатор от атак

Ваш маршрутизатор, тот ящик, который находится в углу вашего дома и дает вам доступ в Интернет, во многих отношениях важнее вашего ноутбука или мобильного телефона .Он может не хранить вашу личную информацию напрямую, но конфиденциальные данные проходят через нее каждый раз, когда вы обращаетесь к различным онлайн-сервисам, и могут быть украдены или изменены в случае взлома маршрутизатора.

Скомпрометированный маршрутизатор также может служить платформой для атак на другие устройства в вашей локальной сети, например, на ваш телефон или ноутбук, или для запуска атак типа «отказ в обслуживании» на веб-сайты в Интернете. Это может поместить ваш IP-адрес в черный список и снизить скорость вашего интернета.

Поскольку он открыт для внешнего мира, ваш маршрутизатор часто становится объектом автоматического сканирования, зондирования и эксплойтов, даже если вы не видите этих атак.И по сравнению с вашим ноутбуком или телефоном, ваш маршрутизатор не имеет антивирусной программы или другого программного обеспечения для его защиты.

К сожалению, большинство маршрутизаторов представляют собой черные ящики, и пользователи практически не могут управлять своим программным обеспечением и конфигурациями, особенно когда речь идет об устройствах, поставляемых поставщиками интернет-услуг своим клиентам. Тем не менее, есть определенные действия, которые пользователи могут предпринять, чтобы значительно снизить вероятность того, что их маршрутизаторы станут жертвами автоматических атак.

Многие из этих действий являются довольно простыми, но другие требуют некоторых технических знаний и понимания сетевых концепций.Для менее технических пользователей может быть проще купить ориентированный на безопасность маршрутизатор с автоматическими обновлениями, например Eero, Google OnHub, Norton Core, Bitdefender Box или F-Secure Sense. Обратной стороной является то, что эти маршрутизаторы дороги, для некоторых требуется годовая подписка на определенные услуги, а уровень их настройки очень ограничен. В конечном счете, их пользователи должны доверять поставщикам, которые поступают правильно.

Если вы не хотите покупать один из них или у вас уже есть маршрутизатор, прочтите подробное пошаговое руководство по его защите.

Выбор маршрутизатора

Если вы предпочитаете более дешевый маршрутизатор или модем, который можно настроить в соответствии с вашими потребностями, не покупайте его у своего интернет-провайдера. Эти устройства обычно производятся крупными партиями компаниями в Китае и других странах и поставляются с индивидуализированной прошивкой, которую интернет-провайдеры могут не полностью контролировать. Это означает, что на устранение проблем безопасности может потребоваться очень много времени, а в некоторых случаях они никогда не будут исправлены.

Некоторые интернет-провайдеры вынуждают пользователей использовать шлюзы, которые они поставляют, потому что они поставляются предварительно настроенными для удаленной помощи, и было много случаев, когда эти функции удаленного управления были плохо реализованы, оставляя устройства открытыми для взлома.Более того, пользователи не могут отключить удаленный доступ, потому что им часто не предоставляется полный административный контроль над такими устройствами.

Может ли интернет-провайдер заставить пользователей использовать определенный модем или маршрутизатор, зависит от страны. В США правила Федеральной комиссии по связи (FCC) должны предотвращать это, но это все же может случиться. Существуют также более тонкие блокировки устройств, когда интернет-провайдеры позволяют пользователям устанавливать свои собственные устройства, но некоторые службы, такие как VoIP, не будут работать без устройства, предоставленного интернет-провайдером.

Подробнее: Руководство по системной плате, чтобы избежать взлома

Если ваш интернет-провайдер не позволяет вам подключить собственное устройство к его сети, по крайней мере, спросите, можно ли его устройство настроить в режиме моста и вы можете установить за ним собственный роутер. Режим моста отключает функцию маршрутизации в пользу вашего собственного устройства. Кроме того, спросите, управляется ли устройство вашего интернет-провайдера удаленно, и можете ли вы отказаться и отключить эту услугу.

Рынок домашних и малых офисных маршрутизаторов очень разнообразен, поэтому выбор подходящего маршрутизатора будет зависеть от бюджета, пространства, которое должно быть покрыто его беспроводным сигналом, типа вашего подключения к Интернету и других желаемых функций, таких как порты USB. для присоединенного хранилища и т. д.Однако, как только вы сократите свой список до нескольких кандидатов, важно выбрать устройство от производителя, который серьезно относится к безопасности.

Изучите послужной список компании в области безопасности: как она справлялась с уязвимостями, обнаруженными в ее продуктах в прошлом? Как быстро были выпущены патчи? Есть ли у него специальное контактное лицо для обработки отчетов о безопасности? Есть ли у него политика раскрытия уязвимостей или программа поощрения ошибок? Используйте Google для поиска таких терминов, как «уязвимость маршрутизатора [название поставщика]» или «использование маршрутизатора [название поставщика]» и прочтите прошлые отчеты исследователей безопасности о том, как они взаимодействовали с этими компаниями.Посмотрите на сроки раскрытия информации в этих отчетах, чтобы узнать, насколько быстро компании разработали и выпустили исправления после получения уведомления об уязвимости.

Также важно определить, если возможно, как долго устройство будет продолжать получать обновления прошивки после того, как вы его купите. Поскольку жизненные циклы продуктов становятся все короче и короче в отрасли, вы можете в конечном итоге купить продукт, выпущенный два года назад, поддержка которого будет прекращена через год или несколько месяцев. И это не то, чего вы хотите от роутера.

К сожалению, производители маршрутизаторов редко публикуют эту информацию на своих веб-сайтах, поэтому для ее получения может потребоваться позвонить или отправить электронное письмо в службу поддержки компании в вашей стране, поскольку существуют модели устройств или версии оборудования для конкретных регионов с разными сроками поддержки. Вы также можете посмотреть историю обновлений прошивки маршрутизатора, который вы собираетесь купить, или маршрутизатора из той же линейки продуктов производителя, чтобы понять, какую частоту обновлений вы можете ожидать от компании.

Выберите устройство, которое также может запускать прошивку с открытым исходным кодом, поддерживаемую сообществом, такую ​​как OpenWrt / LEDE, потому что всегда хорошо иметь опции, и эти сторонние проекты превосходно обеспечивают поддержку старых устройств, которые производители больше не обновляют. Вы можете проверить список поддерживаемых устройств для таких проектов прошивки — OpenWrt, LEDE, DD-WRT, AdvancedTomato, Asuswrt-Merlin — чтобы сообщить о своем решении о покупке.

Когда у вас есть маршрутизатор, самое время сделать несколько важных настроек. Начните с прочтения руководства, чтобы узнать, как подключиться к устройству и получить доступ к его интерфейсу администрирования.Обычно это делается с компьютера через веб-браузер.

Измените пароль администратора по умолчанию

Никогда не оставляйте свой маршрутизатор с паролем администратора по умолчанию, так как это одна из наиболее распространенных причин компрометации. Злоумышленники используют бот-сети для сканирования всего Интернета на наличие уязвимых маршрутизаторов и пытаются пройти аутентификацию с использованием общедоступных учетных данных по умолчанию или слабых и легко угадываемых паролей. Выберите надежный пароль и, если есть такая возможность, также измените имя пользователя для административной учетной записи по умолчанию.

В прошлом году ботнет Mirai поработил более 250 000 маршрутизаторов, IP-камер и других устройств Интернета вещей, подключившись к ним через Telnet и SSH с учетными данными администратора по умолчанию или со слабыми учетными данными. Затем ботнет использовался для запуска крупнейших когда-либо зарегистрированных DDoS-атак. Совсем недавно клон Mirai заразил более 100 000 моделей DSL в Аргентине и других странах.

Защита административного интерфейса

Многие маршрутизаторы позволяют пользователям открывать административный интерфейс в Интернете для удаленного администрирования, а на некоторых старых устройствах он даже настроен таким образом по умолчанию.Это очень плохая идея, даже если пароль администратора будет изменен, потому что многие уязвимости, обнаруженные в маршрутизаторах, находятся в их веб-интерфейсах управления.

Если вам необходимо удаленное администрирование маршрутизатора, прочтите, как настроить сервер виртуальной частной сети (VPN) для безопасного подключения к вашей локальной сети из Интернета, а затем выполнять задачи управления через это соединение. Ваш маршрутизатор может даже иметь возможность действовать как VPN-сервер, но если вы не понимаете, как настраивать VPN, включение этой функции может быть рискованным и может подвергнуть вашу сеть дополнительным атакам.

Также распространено заблуждение, что, если административный интерфейс маршрутизатора не открыт для доступа в Интернет, устройство безопасно. Уже несколько лет злоумышленники запускают атаки на маршрутизаторы с помощью методов подделки межсайтовых запросов (CSRF). Эти атаки захватывают браузеры пользователей при посещении вредоносных или взломанных веб-сайтов и вынуждают их отправлять несанкционированные запросы к маршрутизаторам через локальные сетевые соединения.

В 2015 году исследователь, известный как Kafeine, обнаружил крупномасштабную CSRF-атаку, запущенную через вредоносную рекламу, размещенную на законных веб-сайтах.Код атаки был способен атаковать более 40 различных моделей маршрутизаторов от различных производителей и пытался изменить их настройки системы доменных имен (DNS) с помощью эксплойтов ввода команд или с помощью учетных данных администратора по умолчанию.

Заменяя DNS-серверы, настроенные на маршрутизаторах, на несанкционированные серверы, находящиеся под их контролем, злоумышленники могут направлять пользователей на поддельные версии веб-сайтов, которые они пытаются посетить. Это мощная атака, потому что в адресной строке браузера нет указаний на что-то неладное, если только веб-сайт не использует безопасный протокол HTTPS.Даже в этом случае злоумышленники могут использовать такие методы, как удаление TLS / SSL, и многие пользователи могут не заметить, что зеленый замок отсутствует. В 2014 году атаки с перехватом DNS через взломанные домашние маршрутизаторы использовались для фишинга учетных данных онлайн-банкинга от пользователей в Польше и Бразилии.

CSRF-атаки обычно пытаются найти маршрутизаторы в локальной сети с общими IP-адресами, например 192.168.0.1 или 192.168.1.1, которые производители настраивают по умолчанию. Однако пользователи могут изменить локальный IP-адрес своих маршрутизаторов на другой, например 192.168.33.1 или даже 192.168.33.22. Нет никакой технической причины, по которой маршрутизатор должен иметь первый адрес в сетевом блоке IP, и это простое изменение может остановить многие автоматические атаки CSRF на их пути.

Есть и другие методы, которые злоумышленники могут комбинировать с CSRF для обнаружения LAN IP-адреса маршрутизатора, даже если он не является адресом по умолчанию. Однако некоторые маршрутизаторы позволяют ограничивать доступ к своим административным интерфейсам по IP-адресу.

Если эта опция доступна, вы можете настроить разрешенный IP-адрес, отличный от тех, которые маршрутизатор автоматически назначает вашим устройствам через протокол динамической конфигурации хоста (DHCP).Например, настройте пул адресов DHCP от 192.168.33.50 до 192.168.33.100, но укажите 192.168.33.101 в качестве IP-адреса, разрешенного для доступа к административному интерфейсу маршрутизатора.

Этот адрес никогда не будет автоматически назначен устройству, но вы можете вручную настроить свой компьютер на временное использование, когда вам нужно внести изменения в настройки вашего маршрутизатора. После внесения изменений снова настройте компьютер на автоматическое получение IP-адреса через DHCP.

Также, если возможно, настройте интерфейс маршрутизатора для использования HTTPS и всегда обращайтесь к нему из окна частного / инкогнито браузера, чтобы ни один аутентифицированный сеанс, которым можно было бы злоупотребить через CSRF, не оставался активным в браузере.Не позволяйте браузеру сохранять имя пользователя и пароль.

Завершение работы опасных служб

Такие службы, как Telnet и SSH (Secure Shell), которые обеспечивают доступ к устройствам из командной строки, никогда не должны быть доступны в Интернете, а также должны быть отключены в локальной сети, если они действительно не нужны. Как правило, все неиспользуемые службы следует отключать, чтобы уменьшить поверхность для атак.

За прошедшие годы исследователи безопасности обнаружили множество недокументированных «бэкдорных» учетных записей в маршрутизаторах, которые были доступны через Telnet или SSH и обеспечивали полный контроль над этими устройствами.Поскольку обычный пользователь не может определить, существуют ли такие учетные записи в маршрутизаторе или нет, отключение этих служб — лучший способ действий.

Другой проблемной службой является Universal Plug and Play (UPnP), которая позволяет устройствам обнаруживать друг друга в сетях и обмениваться своими конфигурациями, чтобы они могли автоматически настраивать такие службы, как совместное использование данных и потоковая передача мультимедиа.

За прошедшие годы в домашних маршрутизаторах было обнаружено множество уязвимостей UPnP, которые позволяют проводить атаки от раскрытия конфиденциальной информации до удаленного выполнения кода, ведущего к полной компрометации.

Служба UPnP маршрутизатора никогда не должна быть доступна в Интернете, а также, если это не является абсолютно необходимым, не должна быть включена в локальной сети. Нет простого способа определить, является ли реализация UPnP маршрутизатора уязвимой, и эта служба может использоваться другими сетевыми устройствами для автоматического пробивания дыр в брандмауэре маршрутизатора. Вот сколько IP-камер, радионяней и сетевых ящиков для хранения данных становятся доступными в Интернете без ведома их владельцев.

Другие службы, которые страдают от уязвимостей и должны быть отключены, включают простой протокол управления сетью (SNMP), протокол администрирования домашней сети (HNAP) и протокол управления WAN оборудования в помещении клиента (CWMP), также известный как TR-069. .

SNMP в основном используется в корпоративных средах, поэтому многие домашние маршрутизаторы не имеют этой функции, но некоторые имеют, особенно те, которые предоставляются интернет-провайдерами. В 2014 году исследователи из Rapid7 обнаружили утечки SNMP почти в полумиллионе устройств, подключенных к Интернету, а в апреле два исследователя обнаружили слабые места в реализации SNMP 78 моделей кабельных модемов от 19 производителей, включая Cisco, Technicolor, Motorola, D-Link. и Томсон. Этот недостаток мог позволить злоумышленникам извлекать с устройств конфиденциальную информацию, такую ​​как учетные данные администратора и пароли Wi-Fi, а также изменять их конфигурации.

HNAP — это проприетарный протокол администрирования, который можно найти только в устройствах определенных поставщиков. В 2010 году группа исследователей обнаружила уязвимости в реализации HNAP некоторых маршрутизаторов D-Link, а в 2014 году червь под названием The Moon использовал информацию, просочившуюся через HNAP, для нацеливания и заражения маршрутизаторов Linksys, используя уязвимость обхода аутентификации.

CWMP или TR-069 — это протокол удаленного управления, используемый интернет-провайдерами, и в прошлом году Mirai использовала некорректные реализации для заражения или выхода из строя модемов DSL от интернет-провайдеров в Ирландии, США.К. и Германия. К сожалению, у пользователей обычно нет возможности отключить TR-069, что является еще одной причиной избегать устройств, поставляемых интернет-провайдером.

Одно можно сказать наверняка: злоумышленники все чаще атакуют маршрутизаторы изнутри локальных сетей, используя зараженные компьютеры или мобильные устройства в качестве стартовой площадки. За последний год исследователи обнаружили в дикой природе вредоносные программы как для Windows, так и для Android, которые были разработаны специально для взлома маршрутизаторов в локальных сетях. Это полезно для злоумышленников, поскольку зараженные ноутбуки и телефоны будут подключены их владельцами к разным сетям, достигая маршрутизаторов, которые в противном случае не подвергались бы атакам через Интернет.

Фирма McAfee, занимающаяся безопасностью, также обнаружила троян для онлайн-банкинга, получивший название Pinkslipbot, который превращает зараженные компьютеры в веб-прокси-серверы, доступные из Интернета, с помощью UPnP для автоматического запроса переадресации портов с маршрутизаторов.

Документы Vault7, опубликованные WikiLeaks в этом году, описывают набор инструментов, предположительно используемых Центральным разведывательным управлением США для взлома маршрутизаторов и замены их прошивки на одну, предназначенную для слежки за трафиком. Набор инструментов включает эксплойт под названием Tomato, который может извлекать административный пароль маршрутизатора через UPnP изнутри локальной сети, а также специальную прошивку под названием CherryBlossom, которая, как сообщается, работает на потребительских маршрутизаторах и маршрутизаторах для малого бизнеса от 10 производителей.

К сожалению, при создании устройств многие производители не включают атаки на локальные сети в свою модель угроз и оставляют различные порты администрирования и отладки открытыми на интерфейсе LAN. Поэтому зачастую пользователи сами решают, какие службы работают, и закрывают их, где это возможно.

Пользователи могут сканировать свои маршрутизаторы изнутри своих локальных сетей, чтобы идентифицировать открытые порты и протоколы, используя различные инструменты, популярным из которых является Nmap с его графическим пользовательским интерфейсом под названием Zenmap.Сканирование маршрутизатора из-за пределов локальной сети более проблематично, поскольку сканирование портов в Интернете может иметь юридические последствия в зависимости от юрисдикции. Не рекомендуется делать это с вашего собственного компьютера, но вы можете использовать сторонние онлайн-сервисы, такие как ShieldsUP или Pentest-Tools.com, чтобы сделать это от вашего имени.

Защитите свою сеть Wi-Fi

При настройке сети Wi-Fi выберите длинную, трудно угадываемую парольную фразу, также известную как предварительный общий ключ (PSK) — примите во внимание минимум 12 буквенно-цифровых символы и специальные символы — и всегда используйте протокол безопасности WPA2 (Wi-Fi Protected Access II).WPA и WEP небезопасны и никогда не должны использоваться.

Отключить защищенную настройку Wi-Fi (WPS), функцию, которая позволяет подключать устройства к сети с помощью PIN-кода, напечатанного на наклейке, или путем нажатия физической кнопки на маршрутизаторе. Реализации WPS некоторых поставщиков уязвимы для атак методом перебора, и определить, какие именно из них, непросто.

Некоторые маршрутизаторы предлагают возможность настроить гостевую беспроводную сеть, изолированную от остальной части вашей локальной сети, и вы можете использовать ее, позволяя друзьям и другим посетителям использовать ваше интернет-соединение, не сообщая ваш основной пароль Wi-Fi.Эти гости могут не иметь злонамеренных намерений, но их устройства могут быть заражены вредоносным ПО, поэтому давать им доступ ко всей вашей сети — не лучшая идея. Поскольку их устройства также могут быть использованы для атаки на маршрутизатор, вероятно, лучше всего не позволять им вообще использовать ваше интернет-соединение, гостевую сеть или нет, но это может быть нелегко им объяснить.

Обновите прошивку вашего маршрутизатора

Очень немногие маршрутизаторы имеют возможности полностью автоматического обновления, но некоторые из них предоставляют механизмы ручной проверки обновлений в своих интерфейсах или уведомления по электронной почте о доступности обновлений.К сожалению, со временем эти функции могут перестать работать, поскольку производители вносят изменения в свои серверы и URL-адреса, не принимая во внимание старые модели. Поэтому также полезно периодически проверять наличие обновлений на сайте поддержки производителя.

Некоторые дополнительные возможности

Если вы отключили UPnP, но хотите, чтобы служба, работающая в локальной сети, была доступна из Интернета — скажем, сервер FTPS (FTP Secure), работающий на вашем домашнем компьютере, — вам потребуется настроить вручную настроить для него правило переадресации портов в конфигурации маршрутизатора.Если вы это сделаете, вам следует серьезно подумать об ограничении того, каким внешним IP-адресам разрешено подключаться к этой службе, поскольку большинство маршрутизаторов позволяют определять диапазон IP-адресов для правил переадресации портов. Также следует учитывать риски предоставления доступа к этим сервисам извне, особенно если они не шифруют трафик.

Если вы не используете его для гостей, гостевую беспроводную сеть маршрутизатора можно использовать для изоляции устройств Интернета вещей в вашей локальной сети. Многие устройства IoT управляются через мобильные приложения через облачные сервисы, поэтому им не нужно напрямую разговаривать с вашим телефоном по локальной сети после начальной настройки.

Это защитит ваши компьютеры от часто уязвимых устройств IoT и ваши устройства IoT от ваших компьютеров в случае их заражения. Конечно, если вы решите использовать гостевую беспроводную сеть для этой цели, измените ее пароль и прекратите делиться им с другими людьми.

Подобная сегментация сети может быть достигнута с помощью VLAN (виртуальных локальных сетей), но эта функция обычно не доступна в потребительских маршрутизаторах, если на этих устройствах не используется сторонняя прошивка, такая как OpenWRT / LEDE, DD-WRT или AdvancedTomato.Эти созданные сообществом операционные системы на базе Linux для маршрутизаторов открывают передовые сетевые функции, и их использование может фактически повысить безопасность, поскольку их разработчики, как правило, исправляют уязвимости быстрее, чем поставщики маршрутизаторов.

Однако перепрограммирование пользовательской прошивки на маршрутизаторе обычно приводит к аннулированию гарантии и, если не сделать это правильно, может оставить устройство в непригодном для использования состоянии. Не пытайтесь сделать это, если у вас нет технических знаний для этого и полного понимания связанных с этим рисков.

Следование рекомендациям в этом руководстве значительно снизит вероятность того, что ваш маршрутизатор станет жертвой автоматических атак и окажется порабощенным ботнетом, который запустит следующую DDoS-атаку, взламывающую Интернет. Однако, если опытный хакер с продвинутыми навыками реверс-инжиниринга решит нацеливаться конкретно на вас, вы мало что сможете сделать, чтобы предотвратить взлом вашего домашнего маршрутизатора, независимо от того, какие настройки вы сделали. Но зачем им это облегчать, правда?

Выражаем особую благодарность Джейкобу Холкомбу и Рику Рамгатти из независимых оценщиков безопасности и Крейгу Янга из Tripwire за просмотр технических частей этого руководства и внесение предложений.

Как защитить домашнюю беспроводную сеть от хакеров

Вероятно, у вас дома есть Wi-Fi-роутер, чтобы обеспечить доступ в Интернет для всей семьи. Когда люди заходят к ним, они спрашивают пароль, чтобы проверить что-то на своем смартфоне или показать фотографии из отпуска, хранящиеся в облаке. Вскоре многие люди знают ваш пароль Wi-Fi, и люди могут подключаться к вашему маршрутизатору в любое время, когда проходят мимо вашего дома. В многоквартирном доме сигнал вашего маршрутизатора распространяется на соседние квартиры.

В отличие от физических сетей, системы Wi-Fi могут выходить за пределы стен вашего дома. Как только пароль для доступа выходит в мир, становится очень сложно контролировать, кто может получить доступ к вашей домашней сети. Таким образом, вам необходимо подумать о внесении некоторых изменений и процедур, которые защитят вас от злоумышленников, шпионов и интернет-злоумышленников.

У вас есть две серьезные проблемы с безопасностью. Во-первых, вам нужно контролировать, кто действительно может попасть в вашу сеть. Вторая проблема — это след сигнала.Если люди за пределами вашего дома могут уловить сигнал от вашего маршрутизатора, они также могут захватить данные и получить все ваши пароли.

Вот несколько простых, но важных задач по повышению безопасности вашей сети.

1. Составьте сложный пароль маршрутизатора

Все беспокоятся о том, что они не смогут запомнить пароль, поэтому просто настройте их как строку цифр, например, 11111111. Однако сложные пароли, которые невозможно запомнить, хороши для безопасности системы.

Вам нужно будет сообщить пароль Wi-Fi другим членам вашей семьи, а также близким друзьям и родственникам, которые регулярно навещают вас. Однако вы не можете контролировать, кому они могут дать этот пароль. Хотя есть способы найти пароль, который уже был установлен в операционной системе любого компьютера, не многие люди знают об этой утилите. Создание сложного пароля усложняет общение, и его также невозможно угадать.

Сделайте жизнь немного сложнее для тех, кто пытается угадать ваш пароль WiFi, используя строку случайных символов.Пароль Wi-Fi должен состоять из 12 или 20 чартов, и вы можете создать его для себя с помощью генератора паролей Comparitech.

См. Также: Как составлять и запоминать надежные пароли

Ограничить доступ паролем

Хотя кажется разумным предоставить доступ к Wi-Fi вашим детям, их друзьям и вашим друзьям, вы не должны чувствовать себя обязанным сообщать пароль всем, кто входит в ваш дом. Например, заезжий продавец — совершенно незнакомый человек, и независимо от того, насколько хорошо он одет, вы не знаете, каковы его планы, и вы не можете им доверять.Кто-то, кто находится на вашей территории для выполнения каких-либо услуг, например сантехник, садовник или декоратор, не имеет права запрашивать пароль к вашему Wi-Fi. В таких случаях вы должны быть готовы сказать «нет».

Коммерческим посетителям не нужен доступ к вашему Wi-Fi роутеру, чтобы получать информацию из Интернета для работы. Их работодатели должны предоставить им тарифный план или USB-модем, если их бизнес-модель предусматривает хранение данных в облаке.

Часто меняйте пароль

Не существует жесткого правила о том, как часто следует менять пароль маршрутизатора.Однако вам следует регулярно менять его. Запоминание нового пароля электронной почты или интернет-банка может раздражать, потому что вам нужно постоянно входить в систему. Но поскольку маршрутизаторам Wi-Fi обычно требуется только один раз войти в систему, чтобы получить неограниченный доступ, изменение пароля Wi-Fi менее неприятно.

Сделайте изменение пароля маршрутизатора частью своей ежемесячной рутины. Первого числа месяца, после завтрака, смените пароль Wi-Fi. Если у вас много людей в доме и вне его — например, во время ремонта — меняйте пароль еженедельно.Не забудьте обновить сохраненную вами заметку о пароле.

Многие современные WiFi-маршрутизаторы также включают возможность настройки «гостевой сети» с собственным SSID и паролем. Это означает, что гости могут подключаться к Интернету со своих устройств, и вам не нужно сообщать свой основной пароль.

См. Также: Инструмент для создания паролей

2. Измените учетные данные администратора маршрутизатора

Вы можете получить доступ к консоли вашего маршрутизатора с любого устройства, подключенного к сети.Большинство производителей настраивают учетную запись администратора на маршрутизаторах с одинаковыми именем пользователя и паролем для каждой единицы оборудования, которое они продают. Это отличается от простого подключения к сети; он предоставляет вам контроль над конфигурацией сети. Имея немного ноу-хау, любой, кто подключен к маршрутизатору, может угадать или погуглить его учетные данные для входа. Это делает вас уязвимыми для хакеров или молодых специалистов.

Если кто-то войдет в консоль администратора, он может изменить пароль администратора и заблокировать вас.Итак, измените эти учетные данные до того, как это сделает какой-нибудь умный друг вашей дочери. Без доступа к учетной записи администратора на вашем маршрутизаторе вы не сможете выполнять какие-либо задачи по повышению безопасности Wi-Fi.

Имя пользователя и пароль по умолчанию могут быть напечатаны в буклете, который прилагается к маршрутизатору, или вы можете найти их на страницах поддержки на веб-сайте производителя Wi-Fi. Он может даже отображаться на экране входа в систему маршрутизатора. Если вы нигде не можете найти имя пользователя и пароль, попробуйте sys / admin, system / admin, admin / admin, user / user, system / password и admin / password для комбинации имени пользователя и пароля.Если ничего из этого не работает, найдите свой маршрутизатор в этом списке паролей администратора маршрутизатора по умолчанию.

Когда вы найдете правильную комбинацию, вам нужно поискать в системе меню данные учетной записи. Измените пароль учетной записи администратора на случайную последовательность букв и цифр и сделайте его длиной не менее 12 символов. Не забудьте записать новый пароль в безопасном месте, прежде чем выходить из консоли. Поскольку доступ к большинству консолей маршрутизатора осуществляется через веб-браузер, менеджер паролей позаботится об этом за вас.

3. Измените имя сети

Как объяснялось в предыдущем разделе, производители маршрутизаторов устанавливают одинаковые настройки для каждого элемента производимой ими линейки продуктов. Часто производитель устанавливает одно и то же программное обеспечение для администрирования на все модели своих маршрутизаторов. Такая последовательность облегчает жизнь хакерам.

Бесплатное программное обеспечение для обнаружения сети позволяет хакерам видеть все окружающие сети Wi-Fi. Хакеру не нужно знать, из какого дома идет сигнал, потому что ему не нужно взламывать ваш дом, чтобы проникнуть в вашу сеть.Каждая сеть идентифицируется именем, называемым SSID.

Производители маршрутизаторов часто указывают название бренда или модели маршрутизатора в SSID. Если у вас есть маршрутизатор от вашего интернет-провайдера, провайдер может изменить этот SSID, когда он будет показывать собственное имя вместо имени производителя. Если вы купили маршрутизатор самостоятельно, его SSID, вероятно, будет определять производителя или даже модель маршрутизатора.

Хакер может использовать информацию, которая появляется в SSID, для поиска имени пользователя и пароля по умолчанию для маршрутизатора без особых усилий.Измените SSID, чтобы он не выдавал марку или модель маршрутизатора. Не выбирайте идентификатор, который включает ваше имя, адрес или номер телефона. Не используйте в имени другую личную информацию. Итак, «10BullLane», «JBDecker Network» и «Homenet-12281975» — плохие идеи. Избегайте политических заявлений, не используйте ненормативную лексику и не провоцируйте хакеров на проблемы с вашим SSID. Просто сделайте это мягким.

Связано: 10 лучших средств обнаружения вторжений

Скрыть сеть

Вашему маршрутизатору не нужно транслировать свой SSID.Если вы заблокируете отправку идентификатора маршрутизатору, домашний Wi-Fi станет скрытой сетью. Те устройства, на которых уже сохранены данные о подключении, по-прежнему смогут подключиться, но прохожие этого не увидят. Во многих случаях список сетей, который видят другие, будет включать строку с надписью «Скрытая сеть». Не зная названия сети, к ней невозможно подключиться.

Если вы купите новый гаджет, то возникнет проблема, когда неизвестные устройства не смогут подключиться к сети.Однако вы можете временно включить широковещательную рассылку SSID, чтобы ваше новое устройство могло видеть сеть. После того, как вы установили соединение с паролем, снова сделайте сеть скрытой. Скрытие сети упрощает блокировку доступа посетителей в сеть. Если они не видят ваш маршрутизатор в списке доступных сетей, они с меньшей вероятностью будут запрашивать пароль.

4. Усиление шифрования Wi-Fi

Ряд свободно доступных хакерских инструментов может взломать слабое шифрование Wi-Fi, что может позволить злоумышленнику перехватить, увидеть и изменить вашу онлайн-активность.Для защиты передачи обычно используются три типа систем защиты Wi-Fi, поэтому только устройство конечного пользователя и маршрутизатор Wi-Fi могут читать содержимое передачи. Это защита, эквивалентная проводному соединению (WEP), защищенный доступ Wi-Fi (WPA) и защищенный доступ Wi-Fi 2 (WPA 2). Из этих трех вам следует использовать WPA2. Фактически, вам нужна усиленная версия этой системы, которая называется WPA2 AES. Здесь используется шифр AES для защиты передачи, и метод шифрования невозможно взломать.

Вы можете изменить шифрование Wi-Fi в консоли роутера. Параметр шифрования AES часто появляется во втором списке выбора. Поэтому, выбрав WPA2 в первом поле, вы можете выбрать AES во втором поле.

5. Отключите Plug ‘n Play

Методология Universal Plug ‘n Play помогает домашним устройствам обнаруживать сеть, а затем связываться с производителем для получения обновлений прошивки и расходных материалов. UPnP — ключевой элемент в создании Интернета вещей.Это технология, которая делает бытовую технику «умной». По сути, умные гаджеты могут получить доступ к Интернету. UPnP также предоставляет канал для хакеров.

Ваш маршрутизатор должен взаимодействовать с системой UPnP, чтобы эти домашние гаджеты получили доступ к Интернету. Хотя создание самонастраивающихся устройств поначалу казалось привлекательным, отсутствие защиты паролем для большинства устройств или тенденция производителей использовать один и тот же пароль для всех устройств делают эти интеллектуальные устройства уязвимыми для системы безопасности.

UPnP помогает устройству настроить, но как только он заработает, отключите его возможности UPnP. Вы также должны отключить совместимость UPnP в своем маршрутизаторе. UPnP позволяет хакерам заражать домашние устройства и включать их в бот-сети. Ботнет — это армия устройств, которые можно направить для одновременной отправки запросов на доступ к одному компьютеру, тем самым блокируя его доступность. Это называется DDoS-атакой, и она все чаще используется такими странами, как Россия и Китай, в качестве военной стратегии, поэтому UPnP даже подрывает национальную оборону.

6. Отключите удаленное управление

Консоль маршрутизатора должна быть доступна только для устройств, подключенных к сети. Однако стандартная настройка маршрутизатора обеспечивает удаленный доступ. Это означает, что вы можете получить доступ к консоли через Интернет из другого места. К сожалению, если вы можете это сделать, то сможет и любой другой. Итак, отключите удаленный доступ.

7. Предел WPS

Wif-Fi Protected Setup (WPS) предлагает простой способ заставить новые устройства распознавать сеть и подключаться к маршрутизатору.WPS использует один из двух методов.

Если у вашего маршрутизатора есть кнопка WPS на задней панели, нажатие на нее отправит сигнал, который добавляет устройство в сеть и передает ему учетные данные для входа, поэтому вам не нужно вводить текстовый пароль.

Альтернативный метод использует восьмизначный цифровой код, введенный в сетевые настройки устройства. WPS позволяет устройствам в вашем доме, например телевизионным приставкам и игровым консолям, поддерживать присутствие в сети даже при изменении пароля, необходимого для подключения компьютеров и телефонов.

WPS представляет собой слабое место в системе безопасности, поскольку кодовый метод легко взломать. Если на вашем маршрутизаторе есть кнопка WPS, отключите возможности кода WPS и положитесь на кнопку. Если у вас нет кнопки, полностью отключите WPS, потому что использование кода представляет собой серьезную проблему для безопасности вашей сети.

8. Регулярно обновляйте микропрограмму роутера

Производитель маршрутизатора должен автоматически обновить прошивку на вашем шлюзе. Однако точно так же, как вы должны составлять ежемесячный график изменения пароля Wi-Fi, вы также должны регулярно проверять наличие обновлений.Консоль маршрутизатора должна включать эту опцию. Если нет, возьмите за привычку в первое число месяца проверять веб-сайт производителя маршрутизатора на наличие обновлений и устанавливать их, если они доступны.

Еще одним поводом для обновления прошивки должны стать новости, в которых рассказывается о серьезных вирусных атаках. Обычно новые вирусы распространяются из-за того, что хакер обнаруживает слабое место в системе безопасности, называемое «эксплойтом». Иногда хакеры обнаруживают эти слабые места раньше технологических компаний. Вспышка серьезной атаки спровоцирует производителя маршрутизатора проверить код его прошивки, чтобы убедиться, что его оборудование не уязвимо для новой атаки.Если это так, они выпустят исправление безопасности. Так что проверяйте веб-сайт производителя вашего маршрутизатора всякий раз, когда появляются эти новости.

9. Включите межсетевой экран

Скорее всего, на вашем Wi-Fi-роутере есть брандмауэр, но вы его не включили. Просмотрите настройки консоли, чтобы узнать, сможете ли вы его найти. В противном случае посетите страницы поддержки клиентов на веб-сайте производителя маршрутизатора. Если есть база знаний, вы можете выполнить поиск на сайте по ключевому слову «брандмауэр» и посмотреть, какая информация появится.

Маршрутизаторы

Wifi работают с системой, называемой NAT, что означает «преобразование сетевых адресов». Эта манипуляция с адресами означает, что каждому компьютеру в вашей сети назначается адрес, известный только маршрутизатору. Он не представляет вас в Интернете. Вместо этого у маршрутизатора есть свой собственный интернет-адрес, который обменивается данными с внешним миром. Очень удачным побочным эффектом системы NAT является то, что она не позволяет посторонним идентифицировать адреса отдельных устройств в сети.Незапрашиваемый трафик блокируется до того, как он достигнет устройств конечных пользователей.

Помимо этой защиты, маршрутизаторы обычно имеют аппаратный межсетевой экран. Это работает немного иначе, чем программное обеспечение, которое вы, вероятно, установили на свой компьютер. Стоит включить.

См. Также: Что такое межсетевой экран и зачем он нужен в домашней сети?

10. Назначьте статические адреса

Этот шаг носит немного технический характер и может показаться вам немного неудобным в реализации.Как объяснялось выше, все устройства в вашей беспроводной сети имеют адрес. Это называется IP-адресом, и он должен быть уникальным. IP-адрес вашего компьютера уникален только в вашей частной сети. Вот почему маршрутизатор также использует публичный адрес, который представляет вас в Интернете.

Маршрутизатор назначает IP-адрес каждому устройству в сети через систему, которая называется «протокол динамической конфигурации хоста» или DHCP. Хакеры могут манипулировать DHCP, чтобы выделить себе сетевой адрес, что затрудняет их обнаружение.

Одна из настроек в консоли вашего маршрутизатора позволит вам изменить способ распределения адресов в вашей сети. Чтобы остановить маршрутизатор, использующий DHCP, вам нужно посмотреть страницу конфигурации сети консоли. Вариант, который вы ищете, вероятно, будет раскрывающимся списком с пометкой «Тип подключения WAN» или «конфигурация адреса». Точные настройки зависят от вашей модели роутера. Однако вы увидите, что в настоящее время в этом поле установлено значение DHCP. Вам нужно изменить это на Статический IP.

Прежде чем вносить это изменение, перейдите ко всем компьютерам и сетевым устройствам в вашем доме и запишите IP-адрес, который каждый из них использует в настоящее время. После изменения маршрутизатора на использование статических IP-адресов вернитесь к каждому устройству и назначьте ему адрес, который вы записали для него. Эффективность изменения распределения адресов является предметом обсуждения.

См. Также: Полное руководство по DHCP

11. Фильтрация MAC-адресов

Консоль вашего маршрутизатора будет содержать пункт меню под названием «Фильтрация MAC-адресов» или «Фильтрация MAC-адресов».”Эта опция позволит подключаться к вашей сети только одобренным устройствам. Каждое устройство, которое может подключиться к сети, имеет MAC-адрес. Фактически это идентификатор сетевой карты, и он уникален во всем мире. Таким образом, в мире не существует двух устройств с одинаковым MAC-адресом. MAC означает «контроллер доступа к среде». Он состоит из шести двузначных шестнадцатеричных чисел, разделенных двоеточиями. Это выглядит как 00: 17: 5f: 9a: 28.

Вы можете прочитать, что фильтрация MAC-адресов — пустая трата времени, потому что ее можно обойти.Это верно до определенного момента. Если вы просто хотите запретить соседям бесплатно подключаться к вашей сети и не можете заставить своих детей молчать о пароле, то фильтрация MAC-адресов предоставит вам необходимые функции. Если вы подозреваете, что кто-то из ваших соседей — хакер, то этот прием не окажет большого сопротивления.

На мобильных устройствах найдите MAC-адрес в настройках сети. На компьютерах откройте окно командной строки и введите ipconfig / all. Откроется список атрибутов компьютера, включая MAC-адрес.Составьте список MAC-адресов всех устройств в вашем доме, которые вы хотите подключить к сети.

Когда вы переходите к настройке списка фильтрации, обратите внимание на инструкции на странице, потому что не все системы фильтрации MAC точно одинаковы — структура зависит от вашего маршрутизатора.

Существует два режима фильтра MAC-адресов. Это «разрешить» и «запретить» или они могут быть помечены как «включить» и «исключить». Если вы не видите эти параметры, значит, MAC-фильтр вашего маршрутизатора относится к категории разрешить / включить.Если эти параметры доступны, выберите разрешить / включить. На экране должно быть поле, в котором вы вводите список адресов. Обычно для разделения записей достаточно возврата каретки, но может потребоваться поставить запятую или точку с запятой после каждого адреса.

Фильтрация MAC-адресов может быть отключена хакером, у которого есть анализатор пакетов беспроводной сети. Каждая часть информации, которая поступает на устройство или выходит из него, имеет свой MAC-адрес. Хотя MAC-адреса назначаются мировым сетевым картам и управляются централизованно, поэтому каждый из них уникален в мире, хакеры знают, как изменить адрес.Следовательно, хакеру просто нужно выбрать один из MAC-адресов, который он видит активным в сети, а затем изменить MAC-адрес своего компьютера на этот. Однако такие инструменты недоступны на мобильных устройствах, поэтому хакеру придется сидеть с ноутбуком в пределах досягаемости вашего маршрутизатора, чтобы уловить сигнал.

12. Выключаем роутер

Если вы не используете Wi-Fi, вы можете выключить маршрутизатор. Иногда вы можете захотеть оставить большую загрузку на ночь.Однако в большинстве случаев вы не собираетесь использовать сеть, пока спите. Рекомендуется выключать всю электронику на ночь и даже отключать ее от сети. Это мера безопасности от искр, вызывающих возгорание оборудования, а также хорошая практика для защиты окружающей среды. Многие электрические и электронные устройства сжигают электричество даже в режиме ожидания. Так что отключение всего от сети перед сном уменьшит ваши счета за электроэнергию, а также поможет спасти планету за счет снижения нагрузки на электростанции.

Вы также можете выключить роутер, когда идете на работу. Если в вашем доме много людей, последний человек, вышедший из дома утром, выключает маршрутизатор, а тот, кто пришел домой вечером, включает маршрутизатор.

Причина этого совета должна быть очевидна. Чем меньше часов работает ваша система Wi-Fi, тем меньше вероятность хакерской атаки. Это также будет блокировать доступ ваших соседей к вашему Wi-Fi на большие промежутки времени.Если ваше интернет-обслуживание ограничено, этот шаг снизит ваш ежемесячный счет.

13. Проверьте порт 32764

Еще в начале 2014 года было обнаружено, что прошивка для некоторых моделей маршрутизаторов поддерживает процесс, который прослушивал порт 32764. «Открытый» порт является уязвимостью системы безопасности, и когда сообщество информационной безопасности обнаружило проблему, маршрутизаторы компании вовлеченный удалил подпрограмму, которая прослушивала ответы на этом порту. Однако в апреле того же года обновление прошивки ввело процедуру повторного открытия порта.

Порт — это число, представляющее адрес приложения. Чтобы порт был открыт, ему нужен процесс, который его слушает. Если хакеры узнают о неясных программах прослушивания, которые могут манипулировать программой, чтобы нанести ущерб маршрутизатору или сети.

Похоже, что доступ через порт 32764 является требованием поставщика оборудования, называемого SerComm. Вы, вероятно, не купили маршрутизатор SerComm, но этот производитель поставляет его для Cisco, Netgear, Linksys и Diamond.Здесь вы можете найти список маршрутизаторов, которым грозит опасность. Хорошая новость заключается в том, что процесс, который прослушивает порт, может быть активирован только из сети. Проверьте, открыт ли порт 32764 на этом сайте. Если он открыт, вам необходимо обратиться к поставщику маршрутизатора за помощью в этом вопросе. Простое закрытие порта не является жизнеспособным решением, потому что он был открыт по команде без вашего ведома, и они могут просто открыть его снова. Если компания-производитель маршрутизатора не может предоставить вам патч, устраняющий эту уязвимость, попросите вернуть деньги.

14. Поддерживайте работоспособность устройств

Компьютеры и другие устройства в вашем доме могут предоставить хакерам возможность проникнуть в ваш маршрутизатор. Некоторые из устройств, которые подключаются к вашей сети, будут портативными. Такие устройства, как ноутбуки, планшеты и смартфоны, более склонны к заражению, поскольку они, вероятно, подключаются к другим сетям и выходят в Интернет в общественных местах. Есть больше возможностей для заражения вирусом и проникновения вне дома. Оборудование, которое никогда не выходит из дома, подвергается воздействию только одной точки доступа в Интернет, поэтому вероятность заражения снижается.

Вы также должны быть осторожны с людьми, которые переносят файлы на ваши компьютеры с USB-накопителей. Копирование файлов предлагает метод доступа к вирусам. Поэтому убедитесь, что на ваших компьютерах установлены брандмауэры и антивирусное программное обеспечение.

Убедитесь, что ваше программное обеспечение постоянно обновляется, и вы разрешаете автоматические обновления. Патчи и новые выпуски для операционных систем и приложений часто выпускаются для устранения слабых мест в системе безопасности.

См. Также : Лучшие бесплатные антивирусные программы для Windows и Mac

15.Используйте VPN

Виртуальные частные сети в основном используются для повышения конфиденциальности в Интернете. Однако они также предлагают преимущества безопасности, которые помогают защитить ваш маршрутизатор от вторжения. Если вы или другие члены вашей семьи часто используете точки доступа Wi-Fi в общественных местах, например в кафе, использование VPN поможет защитить ваши устройства от атак со стороны взломанных точек доступа Wi-Fi. Хакеры используют атаки «человек посередине» для кражи данных у других пользователей, подключенных к той же сети, и их также можно использовать для проникновения вредоносных программ на ваши устройства.Когда вы приносите эти устройства домой и подключаете их к своей сети, ваш маршрутизатор становится легкой мишенью.

VPN также является хорошим решением проблем, связанных с анализаторами беспроводных пакетов. VPN шифрует весь трафик от вашего компьютера до удаленного сервера, который находится через Интернет за пределами вашего Wi-Fi роутера. Это означает, что посредники не смогут обмануть вас, установив поддельное соединение, и не смогут проникнуть в ваш поток данных, проникнув в ваш маршрутизатор. Защита, предлагаемая VPN, проходит через маршрутизатор, поэтому даже если шифрование, обеспечиваемое маршрутизатором, отключено, у вас все еще есть шифрование VPN, чтобы ваши данные не читались.

Большинство людей держат свой Wi-Fi роутер в гостиной, потому что именно там подключается кабель или телефонная линия. Гостиные часто выходят на улицу, поэтому размещение маршрутизатора у окна передней комнаты отправляет половину вашего сигнала во внешний мир.

Если вы установите маршрутизатор Wi-Fi у дальней стены гостиной за телевизором, планировка вашего дома или квартиры может означать, что другая сторона этой стены находится внутри дома соседа. Стены более устойчивы к радиоволнам, чем окна.Однако вы по-прежнему предоставляете своим соседям половину покрытия Wi-Fi.

Найдите центральную точку вашего дома и поместите туда маршрутизатор. Имейте в виду, что зона сигнала Wi-Fi-роутера похожа на шар — он излучается сверху и снизу, а также по горизонтали. Итак, если у вас двухэтажный дом, поместите маршрутизатор прямо под потолком на нижнем уровне, чтобы наверху также можно было обслуживать.

Если ваш дом больше зоны покрытия сигнала маршрутизатора, центрирование маршрутизатора в центре дома обеспечит максимальное покрытие и предотвратит выход сигнала наружу.

Если ваш дом меньше зоны покрытия сигнала, у вас есть несколько различных вариантов уменьшения мощности сигнала за пределами вашего дома. Вы можете использовать маршрутизатор с частотой 5 ГГц вместо маршрутизатора с частотой 2,4 ГГц, потому что он имеет меньший диапазон и не может проникать через стены. Вы также можете попробовать уменьшить радиус действия маршрутизатора, обернув антенны фольгой или даже поместив ее в картонную коробку. Если вы действительно преданы делу, вы даже можете покрасить стены анти-Wi-Fi краской, чтобы сигнал не выходил наружу.

17. Создайте клетку Фарадея

Некоторые дома плохо обслуживаются сотовой связью. Во многих случаях, даже если вы находитесь в городской зоне, где полосы должны быть полностью заполнены, доступность сигнала падает, как только вы заходите в помещение. Это ненормально. Это явление вызвано материалом, из которого изготовлен ваш дом. Любой металл в строительном материале будет притягивать радиосигналы и препятствовать их проникновению через кожу дома в ваши комнаты. Это называется клеткой Фарадея, и, хотя она раздражает из-за плохого обслуживания сотовой связи в помещении, она отлично подходит для улавливания вашего сигнала Wi-Fi внутри вашего дома.

Строительные материалы, которые блокируют прохождение сигнала Wi-Fi снаружи, включают изоляцию из фольгированной мембраны, встроенную в стены за гипсокартоном. Если внутренние стены вашего дома имеют такую ​​изоляцию, у вас будут проблемы с передачей сигнала Wi-Fi из комнаты, где находится маршрутизатор. Металлические оконные рамы уменьшают количество сигнала, проходящего через стекла ваших окон, а железобетонные стены с металлическими решетками также предотвращают распространение Wi-Fi на улицу.

Если в вашем доме не так много металла на внешних стенах, вы можете интегрировать металлы в свою отделку, чтобы заблокировать выход Wi-Fi наружу. Идеи включают в себя алюминиевую облицовку, которая может выходить за пределы дома, чтобы защитить стены, придать вашему дому новый вид, а также заблокировать весь Wi-Fi. Другие идеи включают шторы с металлической нитью, медные настенные покрытия, металлические стеллажи и металлические ширмы.

Если металл не подходит для вашего интерьера, обратите внимание на краску, блокирующую сигналы Wi-Fi.Также можно рассмотреть блестящие металлизированные обои, напечатанные на фольге.

18. Отключайте сеть, если уезжаете на длительное время.

Если вы собираетесь в отпуск или в течение нескольких недель ваша домашняя сеть Wi-Fi не понадобится, выключите ее. Хакеры не могут проникнуть в вашу сеть, когда она не подключена. Выключение маршрутизатора не только поможет снизить риски безопасности, но и если вы отключите его от сети, вы также сможете предотвратить его повреждение из-за скачков напряжения.

19.Настроить отдельную сеть для устройств IoT

Устройства Интернета вещей становятся все более распространенными в наших домах. Теперь у нас есть умные телевизоры, умные холодильники, наши собственные виртуальные подчиненные устройства в Alexa и Google Home, а также множество других устройств IoT во многих наших домах. С развитием новых технологий и развертыванием 5G это число будет только увеличиваться. Это касается двояко:

• Чем больше устройств IoT, тем больше конечных точек и тем больше количество потенциальных входов для хакеров.
У
• устройств IoT плохая репутация в области безопасности.

Имея это в виду, те, кто особенно заботится о безопасности, могут захотеть рассмотреть возможность создания отдельной сети Wi-Fi для своих устройств IoT. Хотя технически это может не быть частью защиты вашей домашней сети, установка второй позволяет вам разделить цифровые активы вашего дома.

Таким образом, вы можете разместить все ценное в одной сети, например, ваши компьютеры, телефоны и любые важные данные. В другой сети вы можете разместить все менее безопасные устройства Интернета вещей, а также все, что не так важно.Вы даже можете использовать эту вторую сеть для гостей, не позволяя им вносить угрозы в вашу основную сеть.

Имея две отдельные сети, вы можете исключить риски того, что плохо защищенные устройства Интернета вещей будут открывать вашу основную сеть. Если хакеры действительно проникнут в вашу сеть IoT, все, что они найдут, — это другие устройства IoT, и они не смогут проникнуть на ваши компьютеры или телефоны, а также не смогут украсть или организовать атаки программ-вымогателей на ваши важные устройства. данные.

Сейф Wi-Fi

Заголовки новостей о программах-вымогателях и краже личных данных вызывают беспокойство.Мысль о том, что кто-то может вторгнуться в ваш Wi-Fi, немного напоминает угрозу нападения или ограбления в вашем собственном доме. Вам не нужно быть техническим экспертом, чтобы повысить безопасность вашей домашней сети Wi-Fi, вам просто нужно быть немного умнее в своих привычках.

Обычно лучше всего подходят простые решения проблем безопасности. Как видите, ни одно из решений в нашем списке не стоит денег. Большинство этих предложений — это разумные шаги, которые может предпринять каждый. Даже более сложные идеи, такие как скрытие сети или фильтрация MAC-адресов, требуют всего лишь изучения опций, доступных вам в консоли Wi-Fi роутера.

Убедитесь, что вы храните свои личные данные в безопасности от похитителей личных данных и не допускаете, чтобы скупые соседи украли ваш Интернет, следуя рекомендациям в этом руководстве.

У вас есть идеи по поводу повышения безопасности Wi-Fi? Если вы можете вспомнить несколько хороших идей, которые мы упустили из виду, оставьте сообщение в разделе комментариев ниже и поделитесь своими знаниями с сообществом.

См. Также:

Изображение: подключение к приключениям через Pixabay, лицензия CC0

способов предотвратить DDoS-атаку на маршрутизатор

PureVPN может защитить вашу сеть от подделки IP-адреса.В нашем сервисе используется надежная технология, которая фильтрует, шифрует и перенаправляет сетевой трафик на серверы Anti-DDoS VPN , чтобы помочь предотвратить DDoS-атаки на маршрутизаторы.

Как предотвратить DDoS-атаки на маршрутизаторы?

Теперь возникает вопрос «на миллион долларов» о том, как предотвратить DDoS-атаки на маршрутизаторы.

Отличить нелегитимные запросы трафика от законных, по общему признанию, довольно сложно. Тем не менее, есть несколько защитных мер, чтобы предотвратить взлом вашего сетевого маршрутизатора и его атаку со стороны опасного ботнета.

Рассмотрите следующие шаги, чтобы предотвратить DDoS-атаки на маршрутизатор до его запуска. Без необходимых мер безопасности вы можете столкнуться с хаосом и даже можете быть вынуждены без другого выбора, кроме изменения вашей личности (и IP-адреса !)

1. Используйте надежный межсетевой экран , чтобы предотвратить обнаружение подлинного IP-адреса вашего маршрутизатора адрес .
2. Используйте новейшее антивирусное программное обеспечение на всех ваших устройствах, подключенных к Интернету, чтобы предотвратить их участие в программе DDoS .
3. Держите свои операционные системы (iOS, Mac, Windows, Linux, Android) в обновленном состоянии .
4. Убедитесь, что ваше оборудование (маршрутизаторы, модем) и программное обеспечение обновлены в соответствии с последними стандартами безопасности. Это включает в себя перепрошивку прошивки, чтобы убедиться, что она самая последняя версия.
5. Не используйте сторонние серверы, только официальные (Playstation Network, Xbox Live, Steam и т. Д.), Чтобы предотвратить отображение вашего IP-адреса для публики или администратора сервера.
6. Следите за обновлениями всех программ голосового чата.Не принимайте запросы голосового чата от людей, которых вы не знаете.

Если эти защитные меры не сработают, вам необходимо сбросить свой IP-адрес (отключив модем / маршрутизатор,

С помощью командной строки Windows , изменив настройки в консоли администратора вашего маршрутизатора, обновив систему Mac предпочтений или даже связавшись с вашим интернет-провайдером).

Но есть способ попроще! Используйте VPN (виртуальную частную сеть) PureVPN для защиты вашей личности и маршрутизации нежелательного сетевого трафика через зашифрованную сеть на сервер VPN.

Используйте безопасность банковского уровня и избегайте DDOS-атак

Проверенная в боях VPN в ваших системах позволяет сократить количество кибератак и нежелательных сбоев в вашей сети. Наслаждайтесь PureVPN с бесплатным дополнением DDoS.

Что представляет собой DoS-атака?

Атака отказа в обслуживании, также известная как DoS, является относительно распространенной атакой.

Представьте себе изображение сотен людей, пытающихся покинуть здание. Если слишком много людей пытаются вырваться из одного маленького дверного проема, только несколько человек могут выйти в любой момент времени.Порой переполненность настолько велика, что никто не может уйти вообще.

DoS работает аналогично. Это киберугроза, которая не позволяет законным пользователям получать доступ к приложениям, сетевым ресурсам или каналам передачи данных из-за притока трафика к этому единственному месту назначения. Либо пункт назначения становится полностью бесполезным, либо через него может пройти только небольшой процент трафика. В конце концов, DoS предотвращает доступ к любому типу услуг от вашего стандартного информационного веб-сайта, поставщика электронной почты, банковского счета — все, что зависит от сети или компьютера, может стать объектом DoS-атаки.

DoS атаки являются преднамеренными и злонамеренными. Они возникают, когда конкретный целевой пункт назначения наводнен нежелательным трафиком с такой высокой скоростью, что в конечном итоге местоположение не может справиться с нагрузкой, что делает сервер недоступным для законных запросов. В результате предприятия теряют деньги и время, а клиенты разочаровываются и могут переключить свою лояльность на другого поставщика, чей веб-сайт исправен.

Что такое DDoS-атака?

Как и DoS-атака, атака DDoS ( Distributed Denial of Service ) осуществляется с плохими намерениями.DDoS-атака — это когда хакер использует множество скомпрометированных систем для одновременной атаки на одно приложение, систему или сеть, делая их неспособными отвечать на запросы законных пользователей.

Используя распределенный механизм (« D » в DDoS ), вместо использования одного хоста для отключения желаемого пункта назначения, вместо этого несколько серверов были скомпрометированы для одновременной атаки одного целевого пункта назначения. Эти серверы могут стать частью так называемого «ботнета .”

Каковы основные виды DoS- и DDoS-атак?

Существует ряд типов DoS- и DDoS-атак, которые различаются в зависимости от используемого сетевого протокола, отправляемых пакетов данных и других критериев. Ниже приведен список типов атак, с которыми вы, возможно, столкнулись в течение своей жизни (и мы заверяем вас, что они есть!)

• Объемные атаки используют технологию, называемую эхо-запросами ICMP, которые предназначены для перегрузки внутренней сетевой емкости.
• Атаки исчерпания состояния TCP сосредоточены на брандмауэре, тем самым ограничивая количество соединений, которые могут быть установлены.
• Атаки фрагментации отправляют манипулируемые пакеты в сеть, которая слишком велика для ее обработки.
• Атаки на уровне приложений сосредоточены на потреблении ресурсов, создавая слишком много транзакций или процессов, так что настоящие подлинные транзакции не могут быть обработаны.

Почему DoS / DDoS-атаки происходят на маршрутизаторах?

Существует так много причин, по которым может произойти DoS- или DDoS-атака на маршрутизатор.От гнусных конкурентов и требований выкупа до хакерства и развлечения, вызывающего проблемы у пользователей, все, что угодно, может стать причиной для атак злоумышленников на маршрутизатор.

Может ли маршрутизатор быть исполнителем и целью для DDoS-атак?

Да, маршрутизаторы, к сожалению, могут быть как целью для DDoS-атаки, так и могут быть использованы для запуска атаки, иногда даже одновременно.

Многие маршрутизаторы, особенно с устаревшим микропрограммным обеспечением, могут содержать уязвимости безопасности, которые используются злоумышленниками, которые могут остановить работу маршрутизаторов или могут быть использованы для запуска злонамеренной атаки.

От заражения вредоносным ПО и отправки трафика из зараженных сетей из-за плохой конфигурации до использования хакерских инструментов для проникновения в удаленные сети, хакеры могут адаптировать любые возможные способы манипулирования маршрутизаторами для DDoS-атак. Как говорится, когда есть желание, есть и прочь.

Как PureVPN работает для предотвращения DDoS-атак?

VPN-сервис PureVPN разработан, чтобы предоставить пользователям лучший цифровой опыт. Он отличается исключительным качеством, скоростью и сетевой безопасностью.PureVPN имеет первоклассный механизм защиты, предотвращающий DDoS-атаки на маршрутизатор и обеспечивающий защиту сетевого трафика от дурных глаз DDoS-злоумышленников или любых других шпионских организаций.

Услуга VPN от PureVPN включает предотвращение DDoS-атак, которое автоматически обнаруживает и немедленно принимает меры при атаке на ваш маршрутизатор.

Когда вы подключаетесь к VPN PureVPN, ваш сетевой трафик направляется через зашифрованный канал на один из его серверов защиты от DDoS-атак, который маскирует ваш исходный IP-адрес.Таким образом, злоумышленники не могут найти IP-адрес вашего маршрутизатора и прервать сетевое соединение. Этот процесс защищает вашу личность и предотвращает уязвимость вашей сети для DDoS-атак.

Подробнее о защите от DDoS-атак

Защитите себя с помощью этих простых советов — FireFold

Безопасность маршрутизатора является важным аспектом, когда речь идет о поддержании безопасной технологической среды на рабочем месте. Если вы хотите иметь более безопасный маршрутизатор, первое, что нужно проверить, — это есть ли у вашего маршрутизатора ключ.Вы можете создать свой собственный закрытый ключ через экран настройки безопасности беспроводной сети, расположенный на вашем маршрутизаторе.

Изобретите закрытый ключ в разделе настройки вашего маршрутизатора

Просто войдите в раздел настройки и придумайте идентификационный ключ, который не позволит другим пользователям подключиться к вашему роутеру. Если вы не создаете ключ, вы в основном используете компьютер, подключенный к незащищенной сети. Использование сети с ключом — простой способ защитить вашу конфиденциальность в Интернете.

Измените пароль по умолчанию на свой собственный эксклюзивный пароль

Одна из самых важных вещей, которую следует иметь в виду при попытке сделать ваш маршрутизатор более безопасным, — это то, что вам необходимо изменить пароль SSID по умолчанию.Все производимые маршрутизаторы, представляющие вашу конкретную марку и модель, имеют одинаковый пароль. Следовательно, любой, кто знаком с вашим конкретным маршрутизатором, уже знает пароль по умолчанию. Уникальный пароль SSID повышает безопасность

Создайте сложную крепость паролей в маршрутизаторе

Изменение пароля по умолчанию на уникальный пароль SSID помогает предотвратить потенциально опасные атаки на ваш маршрутизатор другими веб-страницами. Убедитесь, что вы выбрали длинный и сложный пароль, устойчивый к угрозам безопасности.Никогда не используйте свое настоящее имя, дату рождения, номер стационарного или мобильного телефона, физический адрес, адрес электронной почты или номер социального страхования в новом пароле маршрутизатора. Не создавайте пароль, содержащий буквы, цифры или слова, позволяющие другим использовать или атаковать ваш маршрутизатор.

Маршрутизаторы для магазинов

Предотвращение атак путем отключения защищенной настройки Wi-Fi (WPS)

Вы можете не осознавать, что WPS уязвим для атак маршрутизатора. Вместо использования WPS у вас есть возможность включить шифрование WPA2 и добавить отдельный пароль для обеспечения дополнительной защиты.Отключение WPS и включение WPA2 — это простой процесс, который вы можете выполнить в настройках маршрутизатора. Если в вашем маршрутизаторе также есть опция AES, включите и WPA2, и AES, чтобы сделать устройство более безопасным. Если WEP — единственный доступный параметр, подумайте о переходе на более технологичный маршрутизатор с более безопасными параметрами.

Регулярно обновляйте микропрограмму маршрутизатора

Вы уже знаете, что вашему компьютеру нужны обновления. Прошивка вашего роутера также нуждается в обновлениях, улучшающих его производительность.Однако вы можете не знать, что обновление вашего маршрутизатора также повышает безопасность. Установка последних обновлений прошивки обеспечивает более безопасный и эффективный маршрутизатор.

Использовать сертифицированный интернет-протокол версии 6 (IPv6)

Возможно, вам даже не понадобится использовать IPv6 на вашем маршрутизаторе. Если вам действительно нужен IPv6, вы можете использовать сертифицированную версию, чтобы сделать свой маршрутизатор более безопасным. Если вам не удается найти сертифицированный IPv6, подумайте об изменении адреса Интернет-протокола (IP) по умолчанию на другой адрес. Сертифицированный IPv6 или измененный IP-адрес гарантируют, что злоумышленники менее способны определить местоположение вашего маршрутизатора.

Не забудьте выйти из настроек маршрутизатора

Когда вы меняете настройки в своем роутере, легко забыть о выходе из роутера. Выход из системы делает ваш маршрутизатор менее уязвимым для потенциально негативных проблем. Оставаясь подключенным к маршрутизатору, он остается открытым, чтобы другие могли изменить ваши настройки безопасности. Вы можете подумать, что включили WPA2, только чтобы позже узнать, что злоумышленник изменил настройку обратно на менее безопасную настройку WPS. Вы не хотите, чтобы атака CSFR стала возможной просто потому, что злоумышленник получил доступ к аутентифицированному сеансу браузера.Выход из системы — простой способ защитить ваш маршрутизатор. Когда ваш маршрутизатор защищен, у вас более надежная бизнес-сеть.

Отключить функцию удаленного управления

Даже если ваш веб-сервер встроен, ваш маршрутизатор все еще находится под угрозой, потому что веб-сервер не является безошибочным. Фактически, ваш встроенный веб-сервер может вызвать проблемы с безопасностью в маршрутизаторе. Если вы создали корпоративную VPN на рабочем месте, установите политику безопасности, которая отключает функцию удаленного управления.После того, как вы изменили функцию удаленного администрирования, инвестируйте в продукты для наблюдения, которые определяют, подключены ли сотрудники через защищенные маршрутизаторы, не полагающиеся на удаленное администрирование. Воспользуйтесь преимуществами новейших технологий, обеспечивающих повышенную безопасность маршрутизатора.

Отключить функцию гостевого доступа

Хотя вы можете подумать, что функция гостевого доступа выполняет полезную функцию, ваш маршрутизатор будет более безопасным, если вы отключите этот гостевой режим. Отключите функцию гостевого доступа, выбрав параметр отключения вместо параметра включения.Не забудьте применить измененные настройки перед выходом из маршрутизатора. Хотя на первый взгляд гостевой вариант кажется хорошей идеей, некоторые маршрутизаторы не предлагают параметры безопасности для функции гостевого доступа. Вместо этого гостевой вариант в этих маршрутизаторах полностью незащищен, что делает его открытой сетью Wi-Fi на дикой территории, открытой для неожиданных атак.

Выберите превосходный маршрутизатор для своего бизнеса

В дополнение к безопасности вам нужно избегать выбора плохого маршрутизатора.При хорошем обслуживании маршрутизатора ожидайте надежности, безопасности и скорости. С другой стороны, плохо спроектированная услуга может привести к потере клиентов. Защита вашей сети имеет первостепенное значение. Вы не получите необходимой защиты, если решите работать с неэффективным сервисом просто потому, что он стоит меньше денег.

Будущее безопасности маршрутизаторов

В будущем вы получите выгоду от использования маршрутизаторов, предлагающих дополнительное хранилище и мощность. Кроме того, у вас будет доступ к более новым типам беспроводных услуг, имеющихся в вашем распоряжении.Например, Wireless AC — это инновационный способ подключения четырех компьютеров к одному маршрутизатору. Предлагая невиданную ранее скорость, новые типы беспроводных маршрутизаторов позволяют загружать огромные объемы информации в течение нескольких секунд.

Как защитить вашу конфиденциальность от атак беспроводного маршрутизатора

С постоянно растущим ростом умных домов, которые помогают вам оставаться на связи, беспроводные маршрутизаторы становятся вашим самым важным требованием. Для любого дома, разбирающегося в Интернете, сеть Wi-Fi является основным средством подключения.После подключения редко вспоминаешь о роутере, он становится частью вашей мебели.

Как защитить вашу конфиденциальность от атак беспроводного маршрутизатора

И все же мы невосприимчивы к угрозам, с которыми мы сталкиваемся со стороны этих маршрутизаторов, вроде тех, которые мы недавно видели в СМИ. Итак, означает ли это, что мы не уделяем достаточно внимания устройствам, которые используем для доступа к онлайн-миру? Простой ответ — да, мы должны.

Как это повлияет на меня?

Согласно недавнему исследованию Norton, с августа 2017 года только в США было зарегистрировано более 45 миллионов угроз.Аналогичную статистику обнародовала компания Symantec, которая заявила, что с того же времени количество атак на Интернет вещей выросло на 600%. А среди атакованных устройств домашние беспроводные маршрутизаторы оказались на первом месте с 33,6% атак.

Важным фактом является то, что, несмотря на то, что количество атак на маршрутизаторы растет с тех пор, как большинство людей не утруждают себя обновлением прошивки своего маршрутизатора, некоторые из них даже не заходили на его страницу администрирования. С другой стороны, СМИ и онлайн-сообщения о спонсируемых государством и целевых атаках на маршрутизаторы и IoT-атаки сделали потребителей осведомленными.И эти отчеты — только начало.

Такие отчеты служат нам напоминанием о том, что после взлома домашней сети беспроводного маршрутизатора хакеры могут получить доступ ко всей вашей личной информации с любого из подключенных к ней устройств. Сюда входят имена, контактные телефоны, даты рождения, медицинская информация, номер социального страхования, финансовые и налоговые отчеты. Когда злоумышленники получают ваши учетные данные для входа в систему, они могут получить доступ и управлять всеми вашими онлайн-аккаунтами или использовать вашу информацию для открытия новых учетных записей или прибегать к незаконным действиям — и все это от вашего имени.

Как происходят атаки маршрутизатора

Организация Министерства внутренней безопасности США, известная как US-CERT (Группа компьютерной готовности США), которая анализирует киберугрозы и реагирует на них, предупредила о возможных спонсируемых государством атаках с использованием сетевых устройств, таких как маршрутизаторы.

Эта спонсируемая государством группа атак состоит из хакеров, чей план организованной атаки включает сбор разведданных, срыв, финансовую выгоду и / или саботаж. Такие группы должны получать поддержку от формы правления.Целевые атаки, осуществляемые этими группами, чаще всего подвергаются шпионажу.

На данный момент, как указано в опубликованном предупреждении, целями являются внутренние организации частного сектора и правительственные крылья, интернет-провайдеры и поставщики инфраструктуры для этих секторов. Однако теперь у ФБР есть основания полагать, что границы размылись, и, возможно, не так давно даже информация пользователей SOHO (небольшой домашний офис) также станет уязвимой.

Кибер-злоумышленники могут взломать домашние беспроводные маршрутизаторы и выполнить атаки типа «злоумышленник в середине».Эти атаки могут выходить далеко за рамки шпионажа и могут использоваться для извлечения интеллектуальной собственности или получения постоянного доступа к пользовательским сетям.

Как легко скомпрометировать маршрутизаторы

Маршрутизаторы

легче взломать, чем другие устройства, потому что их легко открыть. С одной стороны, технологические усовершенствования привели к множеству улучшений и обновлений в различных устройствах и приложениях, которые мы используем для подключения к Интернету. С другой стороны, есть много уязвимостей роутера. Каждое домашнее хозяйство, которое подключается через маршрутизатор, принимает его как часть своего интернет-пакета, доверяя мощным встроенным средствам безопасности.

Причины атак маршрутизатора

Уязвимости нулевого дня в маршрутизаторах могут быть целью организаций, опытных хакеров и преступников для продажи вашей информации агентствам и правительствам за вознаграждение. В 2018 году маршрутизаторы Dasan и Draytek оказались в центре внимания из-за серьезных недостатков безопасности. Их уязвимости позволили злоумышленникам завершить обход аутентификации, что дало хакерам полный контроль над настройками маршрутизатора. Более того, настройки DNS пользователей Draytek были изменены, и хакеры смогли использовать недостатки маршрутизаторов Dasan до того, как был выпущен какой-либо патч.

Один из ключевых моментов, который следует понять, заключается в том, что основная проблема безопасности маршрутизатора — это не более чем неосведомленность пользователей. Как упоминалось выше, большинство пользователей воспринимают безопасность и защиту своих маршрутизаторов как должное, а не наравне с тем, как они относятся к безопасности своих других устройств. Хотя вы, возможно, принимаете меры для обеспечения безопасности своих учетных данных в онлайн-банке или регулярно меняете пароли, этого нельзя сказать о вашем маршрутизаторе. Пароль по умолчанию, при котором вы входите в свой маршрутизатор, является наименьшим; даже если он не может быть взломан с помощью грубой силы, есть шанс, что хакеры могут его использовать.

И в некоторых случаях, когда производители принимают меры по исправлению обнаруженных недостатков безопасности, пользователи в основном игнорируют обновления безопасности. Чтобы проиллюстрировать это, давайте рассмотрим использование уязвимости в маршрутизаторах MikroTik, совершенное хакером «Алексеем» в октябре 2018 года. Был доступен патч для маршрутизатора, датированный апрелем 2018 года, но из-за слабой общей безопасности маршрутизатора Алексей мог взломать больше чем 100 000 роутеров.

Хотя он сказал, что сделал это для установки обновления безопасности для пользователей, это вызвало у них недовольство, поскольку они чувствовали, что он вторгся в их частную жизнь.Какими бы ни были его мотивы, эта атака доказывает вышесказанное, что обновления безопасности маршрутизатора часто игнорируются.

Мотивы атак маршрутизатора

Прямые атаки — Отдельные маршрутизаторы могут быть взломаны маршрутизаторами и использоваться для множества гнусных целей, таких как криптоджекинг и DDOS-атаки.

Криптоджекинг — Биткойн и другие криптовалюты могут быть добыты с помощью вашего компьютера, когда преступники могут использовать ботнеты, чтобы использовать мощность вашего устройства.

DDoS-атаки — Хакеры могут легко использовать ботнеты, чтобы захватить ваше устройство с помощью DDoS-атак.

Data Theft- Взлом вашего Wi-Fi через ваш интернет-сигнал может быть осуществлен даже вашими соседями, пытающимися похитить вашу пропускную способность.

Остается под защитой:

• Безопасность начинается с вас. Когда вы приобретете новый маршрутизатор и настроите его, не забудьте изменить пароль по умолчанию, который идет с ним. По возможности всегда используйте двухфакторную аутентификацию.
• Настройте VPN-соединение на маршрутизаторе. Это позволит вам зашифровать весь ваш интернет-трафик.
• Простой пароль на маршрутизаторе не может защитить вас. Большинство паролей можно легко взломать с помощью простого поиска в Интернете.
• Вместо использования открытой точки доступа используйте шифрование WPA2 в домашней сети Wi-Fi. Создайте гостевую сеть Wi-Fi для доступа в Интернет на новых устройствах или для гостей.
• Всегда выходите из своих учетных записей, когда вы закончите, и если вы используете устройство IoT, не храните конфиденциальную информацию о кредитной карте или пароле.Для покупок в Интернете установите пароль для покупки или отключите покупки.
• Ограничьте доступ внешнего мира к сигналу вашего маршрутизатора, разместив его подальше от окон и как можно глубже в доме. Время от времени выключайте маршрутизатор на несколько секунд перед его повторным включением.
• Надежно настройте параметры маршрутизатора и обращайте внимание на обновления безопасности и прошивки по мере их появления производителем.

Заключение

Возвращаясь к аналогии с мебелью, с которой мы начали эту статью, ваш маршрутизатор — это не то, о чем вы кладете его дома и о чем забываете.Хорошая безопасность маршрутизатора может быть возможна, и вы можете оставаться в безопасности, если потрудитесь уделить внимание.

Об авторе

Саммер Хёрст

Summer — признанный автор, когда дело касается всего технического. Она часто анализирует различное программное обеспечение и в процессе просматривала множество приложений. Как энтузиаст технологий, Саммер работал во многих отраслях, связанных с ИТ. Она внимательно следит за новостями в области кибербезопасности и публиковала статьи, посвященные последним технологическим тенденциям со всего мира.

Безопасность домашней сети | CISA

Интернет позволяет нам выполнять такие задачи, как оплата счетов и поддержание связи с семьей, более эффективно и удобно, не выходя из дома. Однако эта технология связана с угрозами безопасности. Домашние пользователи должны понимать и сохранять бдительность в отношении рисков подключения к Интернету и важности надлежащей защиты домашних сетей и систем.

Что такое безопасность домашней сети и почему мне это нужно?

Безопасность домашней сети относится к защите сети, которая соединяет устройства, такие как маршрутизаторы, компьютеры, смартфоны, радионяни и камеры с поддержкой Wi-Fi, друг с другом и с Интернетом в доме.

Многие домашние пользователи разделяют два распространенных заблуждения о безопасности своих сетей:

1. Их домашняя сеть слишком мала, чтобы подвергнуться кибератаке.
2. Их устройства «достаточно безопасны» прямо из коробки.

Большинство атак не носят личный характер и могут происходить в сети любого типа — большой или малой, домашней или деловой. Если сеть подключается к Интернету, она по своей природе более уязвима и подвержена внешним угрозам.

Как мне повысить безопасность моей домашней сети?

Следуя некоторым простым, но эффективным методам смягчения последствий, приведенным ниже, вы можете значительно уменьшить поверхность атаки в своей домашней сети и усложнить успешную атаку злоумышленнику.

• Регулярно обновляйте программное обеспечение. Регулярные обновления программного обеспечения — один из наиболее эффективных шагов, которые вы можете предпринять для улучшения общего состояния кибербезопасности ваших домашних сетей и систем. Помимо добавления новых функций и функций, обновления программного обеспечения часто включают критические исправления и исправления безопасности для недавно обнаруженных угроз и уязвимостей. Большинство современных программных приложений автоматически проверяют наличие недавно выпущенных обновлений. Если автоматические обновления недоступны, подумайте о покупке программного обеспечения, которое идентифицирует и централизованно управляет всеми установленными обновлениями программного обеспечения.(См. Общие сведения об исправлениях и обновлениях программного обеспечения.)
• Удалите ненужные службы и программное обеспечение. Отключите все ненужные службы, чтобы уменьшить поверхность атаки вашей сети и устройств, включая маршрутизатор. Неиспользуемые или нежелательные службы и программное обеспечение могут создавать бреши в безопасности в системе устройства, что может привести к увеличению площади атаки на вашу сетевую среду. Это особенно верно в отношении новых компьютерных систем, на которых поставщики часто предварительно устанавливают большое количество пробного программного обеспечения и приложений, называемых «раздутым ПО», которые пользователи могут не найти полезными.Агентство по кибербезопасности и безопасности инфраструктуры (CISA) рекомендует вам изучить и удалить любое программное обеспечение или услуги, которые не используются регулярно.
• Измените заводские настройки программного и аппаратного обеспечения. Многие программные и аппаратные продукты поставляются «из коробки» с излишне разрешительными заводскими настройками по умолчанию, призванными сделать их удобными для пользователя и сократить время поиска и устранения неисправностей для обслуживания клиентов. К сожалению, эти конфигурации по умолчанию не ориентированы на безопасность.Если оставить их включенными после установки, злоумышленник сможет использовать больше возможностей. Пользователи должны предпринять шаги для усиления параметров конфигурации по умолчанию, чтобы уменьшить уязвимости и защитить от вторжений.
• Изменить пароли и имена пользователей для входа в систему по умолчанию. Большинство сетевых устройств предварительно настроены с паролями администратора по умолчанию для упрощения настройки. Эти учетные данные по умолчанию небезопасны — они могут быть легко доступны в Интернете или даже могут быть физически помечены на самом устройстве.Если оставить их без изменений, злоумышленники в киберпространстве смогут получить несанкционированный доступ к информации, установить вредоносное программное обеспечение и вызвать другие проблемы.
• Используйте надежные и уникальные пароли. Выберите надежные пароли для защиты ваших устройств. Кроме того, не используйте один и тот же пароль для нескольких учетных записей. Таким образом, если одна из ваших учетных записей будет скомпрометирована, злоумышленник не сможет взломать любую другую из ваших учетных записей. (См. Раздел Выбор и защита паролей для получения дополнительной информации.)
• Запустите новейшее антивирусное программное обеспечение. Авторитетное антивирусное программное обеспечение является важной мерой защиты от известных вредоносных угроз. Он может автоматически обнаруживать, помещать в карантин и удалять различные типы вредоносных программ, таких как вирусы, черви и программы-вымогатели. Многие антивирусные решения чрезвычайно просты в установке и интуитивно понятны в использовании. CISA рекомендует, чтобы на всех компьютерах и мобильных устройствах в вашей домашней сети было установлено антивирусное программное обеспечение. Кроме того, не забудьте включить автоматическое обновление описаний вирусов, чтобы обеспечить максимальную защиту от новейших угроз. Примечание. , поскольку обнаружение основывается на сигнатурах — известных шаблонах, которые могут идентифицировать код как вредоносное ПО, — даже лучший антивирус не обеспечит адекватной защиты от новых и сложных угроз, таких как эксплойты нулевого дня и полиморфные вирусы.
• Установите сетевой брандмауэр. Установите брандмауэр на границе вашей домашней сети для защиты от внешних угроз. Брандмауэр может блокировать проникновение вредоносного трафика в вашу домашнюю сеть и предупреждать вас о потенциально опасной активности.При правильной настройке он также может служить барьером для внутренних угроз, предотвращая попадание нежелательного или вредоносного программного обеспечения в Интернет. Большинство беспроводных маршрутизаторов поставляются с настраиваемым встроенным сетевым брандмауэром, который включает дополнительные функции, такие как контроль доступа, веб-фильтрация и защита от отказа в обслуживании (DoS), которые вы можете адаптировать к своей сетевой среде. Имейте в виду, что некоторые функции брандмауэра, включая сам брандмауэр, могут быть отключены по умолчанию. Убедитесь, что ваш брандмауэр включен и все настройки настроены должным образом, что повысит сетевую безопасность вашей сети. Примечание: ваш интернет-провайдер (ISP) может помочь вам определить, имеет ли ваш брандмауэр наиболее подходящие настройки для вашего конкретного оборудования и среды.
• Установите брандмауэры на сетевые устройства. В дополнение к сетевому брандмауэру рассмотрите возможность установки брандмауэра на всех компьютерах, подключенных к вашей сети. Эти межсетевые экраны, часто называемые хостовыми или программными, проверяют и фильтруют входящий и исходящий сетевой трафик компьютера на основе заранее определенной политики или набора правил.Большинство современных операционных систем Windows и Linux поставляются со встроенным, настраиваемым и многофункциональным межсетевым экраном. Кроме того, большинство поставщиков объединяют свое антивирусное программное обеспечение с дополнительными функциями безопасности, такими как родительский контроль, защита электронной почты и блокировка вредоносных веб-сайтов.
• Регулярно создавайте резервные копии своих данных. Создавайте и храните — используя внешний носитель или облачную службу — регулярные резервные копии всей ценной информации, хранящейся на вашем устройстве. Рассмотрите возможность использования стороннего приложения для резервного копирования, которое может упростить и автоматизировать процесс.Обязательно зашифруйте резервную копию, чтобы защитить конфиденциальность и целостность вашей информации. Резервное копирование данных имеет решающее значение для минимизации воздействия, если эти данные будут потеряны, повреждены, заражены или украдены.
• Повышение безопасности беспроводной сети. Выполните следующие действия, чтобы повысить безопасность вашего беспроводного маршрутизатора. Примечание. проконсультируйтесь с инструкцией по эксплуатации вашего маршрутизатора или обратитесь к своему интернет-провайдеру для получения конкретных инструкций о том, как изменить определенные настройки на вашем устройстве.
  • Используйте самый надежный протокол шифрования. CISA рекомендует использовать персональный расширенный стандарт шифрования (AES) с защищенным доступом 3 (WPA3) и протокол целостности временного ключа (TKIP), который в настоящее время является наиболее безопасной конфигурацией маршрутизатора, доступной для домашнего использования. Он включает AES и может использовать криптографические ключи 128, 192 и 256 бит. Этот стандарт был одобрен Национальным институтом стандартов и технологий (NIST).
  • C изменить пароль администратора маршрутизатора по умолчанию. Измените пароль администратора вашего маршрутизатора, чтобы защитить его от атаки с использованием учетных данных по умолчанию.
  • Измените идентификатор набора услуг по умолчанию (SSID). SSID, который иногда называют «сетевым именем», представляет собой уникальное имя, которое идентифицирует конкретную беспроводную локальную сеть (WLAN). Все беспроводные устройства в беспроводной локальной сети (WLAN) должны использовать один и тот же SSID для связи друг с другом. Поскольку SSID устройства по умолчанию обычно идентифицирует производителя или фактическое устройство, злоумышленник может использовать его для идентификации устройства и использования любой из его известных уязвимостей.Сделайте свой SSID уникальным и не привязанным к вашей личности или местоположению, чтобы злоумышленнику было проще идентифицировать вашу домашнюю сеть.
  • Отключить защищенную настройку Wi-Fi (WPS). WPS обеспечивает упрощенные механизмы подключения беспроводного устройства к сети Wi-Fi без необходимости ввода пароля беспроводной сети. Однако конструктивный недостаток в спецификации WPS для аутентификации PIN-кода значительно сокращает время, необходимое злоумышленнику для перебора всего PIN-кода, поскольку он сообщает им, когда первая половина восьмизначного PIN-кода является правильной.Многие маршрутизаторы не имеют надлежащей политики блокировки после определенного количества неудачных попыток угадать PIN-код, что значительно повышает вероятность атаки методом перебора. См. Атаки грубой силы, проводимые киберакторами.
  • Уменьшите мощность беспроводного сигнала. Ваш сигнал Wi-Fi часто распространяется за пределы вашего дома. Это расширенное излучение позволяет злоумышленникам подслушивать за пределами периметра вашей сети. Поэтому внимательно продумайте размещение антенны, ее тип и уровни мощности передачи.Поэкспериментируя с размещением вашего маршрутизатора и уровнями мощности сигнала, вы можете уменьшить зону покрытия вашей сети Wi-Fi, тем самым уменьшив риск компрометации. Примечание. , хотя это снижает ваш риск, мотивированный злоумышленник может перехватить сигнал с ограниченным охватом.
  • Выключайте сеть, когда она не используется. Хотя частое выключение и включение сигнала Wi-Fi может оказаться непрактичным, рассмотрите возможность его отключения во время путешествий или в течение продолжительных периодов времени, когда вам не нужно быть в сети.Кроме того, многие маршрутизаторы предлагают возможность настроить расписание беспроводной сети, которое автоматически отключает Wi-Fi в указанное время. Когда ваш Wi-Fi отключен, вы не позволяете сторонним злоумышленникам использовать вашу домашнюю сеть.
  • Отключите Universal Plug and Play (UPnP), когда он не нужен. UPnP — это удобная функция, которая позволяет сетевым устройствам беспрепятственно обнаруживать и устанавливать связь друг с другом в сети. Однако, хотя функция UPnP упрощает начальную настройку сети, она также представляет собой угрозу безопасности.Недавние крупномасштабные сетевые атаки доказывают, что вредоносные программы в вашей сети могут использовать UPnP для обхода брандмауэра вашего маршрутизатора, позволяя злоумышленникам удаленно управлять вашими устройствами и распространять вредоносное ПО на другие устройства. Поэтому вам следует отключить UPnP, если в этом нет особой необходимости.
  • Обновить прошивку. Посетите веб-сайт производителя маршрутизатора, чтобы убедиться, что у вас установлена ​​последняя версия прошивки. Обновления микропрограмм повышают производительность продукта, исправляют недостатки и устраняют уязвимости системы безопасности. Примечание: на некоторых маршрутизаторах есть возможность включить автоматическое обновление.
  • Отключить удаленное управление. Большинство маршрутизаторов предлагают возможность просматривать и изменять свои настройки через Интернет. Отключите эту функцию, чтобы не допустить несанкционированного доступа и изменения конфигурации вашего маршрутизатора.
  • Отслеживание подключений неизвестных устройств. Используйте веб-сайт производителя маршрутизатора для отслеживания неавторизованных устройств, подключающихся или пытающихся подключиться к вашей сети.Также посетите веб-сайт производителя, чтобы узнать, как предотвратить подключение неавторизованных устройств к вашей сети.

• Снижение угроз электронной почты . Фишинговые электронные письма по-прежнему являются одним из наиболее распространенных векторов первоначальных атак, используемых для доставки вредоносных программ и сбора учетных данных.