Многие пользователи компьютеров этого не понимают, но для большинства людей их интернет-маршрутизатор является самым важным электронным устройством в их доме. Он связывает большинство других устройств вместе и с миром, поэтому он имеет очень привилегированное положение, которое могут использовать хакеры.
К сожалению, многие маршрутизаторы для бизнеса и малого бизнеса поставляются с небезопасными конфигурациями по умолчанию, имеют недокументированные бэкдоры, предоставляют устаревшие услуги и имеют прошивку, пронизанную основными недостатками. Некоторые из этих проблем не могут быть исправлены пользователями, но есть много действий, которые можно предпринять, чтобы хотя бы защитить эти устройства от крупномасштабных автоматических атак.
Не допускайте, чтобы ваш маршрутизатор был низко висящим фруктом для хакеров.
Основные действия по защите
- Избегайте использования маршрутизаторов, предоставляемых интернет-провайдерами. Эти маршрутизаторы, как правило, менее безопасны, чем те, которые продаются производителями потребителям. Они часто имеют жестко заданные удаленные учетные данные, которые пользователи не могут изменить, и исправления для их настроенных версий прошивки отстают от исправлений для тех же недостатков, которые выпускаются производителями маршрутизаторов.
- Измените пароль администратора по умолчанию. Многие маршрутизаторы поставляются с паролями администратора по умолчанию, и злоумышленники постоянно пытаются проникнуть на устройства, используя эти общедоступные учетные данные. После того, как вы впервые подключитесь к интерфейсу управления маршрутизатором через ваш браузер — адрес должен быть IP-адресом маршрутизатора по умолчанию, найденным на его нижней наклейке или найденным в руководстве по настройке — убедитесь, что первое, что вы делаете, — это изменить пароль.
- Веб-интерфейс управления маршрутизатором не должен быть доступен из Интернета. Для большинства пользователей управление маршрутизатором из локальной сети (локальной сети) не требуется. Если требуется удаленное управление, попробуйте использовать решение VPN (виртуальная частная сеть), чтобы сначала установить защищенный канал в локальной сети, а затем получить доступ к интерфейсу маршрутизатора.
- Даже внутри локальной сети хорошо ограничивать, какие IP-адреса (Интернет-протокол) могут управлять маршрутизатором. Если этот параметр доступен, лучше разрешить доступ с одного IP-адреса, который не является частью пула IP-адресов, назначенных компьютерам через DHCP (протокол динамической конфигурации хоста). Например, настройте DHCP-сервер маршрутизатора для назначения IP-адресов с 192.168.0.1 по 192.168.0.50, а затем настройте веб-интерфейс только для доступа с 192.168.0.53. Компьютер должен быть настроен вручную для использования этого адреса только тогда, когда вам нужно подключиться к маршрутизатору.
- Включите доступ HTTPS к интерфейсу маршрутизатора, если он доступен, и всегда выходите из системы, когда это делается. Используйте браузер в режиме инкогнито или в приватном режиме при работе с маршрутизатором, чтобы не оставлять куки-сессии сеанса и никогда не позволять браузеру сохранять имя пользователя и пароль маршрутизатора.
- Если возможно, измените IP-адрес маршрутизатора. В большинстве случаев маршрутизаторам присваивается первый адрес в предопределенном netblock, например 192.168.0.1. Если предложен вариант, измените его на 192.168.0.99 или на что-то еще, что легко запомнить и не входит в пул DHCP. Весь netblock, используемый маршрутизатором, также может быть изменен на один из зарезервированных для частных сетей . Это будет защищать от атак с подделкой запросов на межсайтовый запрос (CSRF), которые пытаются получить доступ к маршрутизаторам через браузеры пользователей, используя IP-адреса по умолчанию, обычно назначаемые таким устройствам.
- Выберите сложный пароль Wi-Fi и сильный протокол безопасности. WPA2 (Wi-Fi Protected Access II) должен быть вариантом выбора, поскольку старые WPA и WEP подвержены атакам грубой силы. Если маршрутизатор предлагает эту опцию, создайте гостевую беспроводную сеть, также защищенную WPA2 и надежный пароль. Пусть посетители или друзья используют эту изолированную гостевую сеть вместо вашей основной. У них могут быть не злонамеренные намерения, но их устройства могут быть взломаны или заражены вредоносными программами.
- Отключите WPS (Wi-Fi Protected Setup). Это редко используемая функция, призванная помочь пользователям легко настроить сети Wi-Fi, используя PIN-код, напечатанный на наклейке. Тем не менее, серьезная уязвимость была обнаружена во многих версиях вендоров WPS несколько лет назад, что позволяет хакерам проникать в сети. Поскольку трудно определить, какие конкретные модели маршрутизаторов и версии прошивки уязвимы, лучше просто отключить эту функцию на маршрутизаторах, которые ее разрешают. Вместо этого вы можете подключиться к маршрутизатору через проводное соединение и получить доступ к его веб-интерфейсу управления и, например, настроить Wi-Fi с WPA2 и настраиваемый пароль (без WPS).
- Чем меньше сервисов ваш маршрутизатор предоставил в Интернете, тем лучше. Это особенно актуально, если вы не включили эти службы самостоятельно и не знаете, что они делают. Такие сервисы, как Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell) и HNAP (протокол администрирования домашней сети), не должны быть доступны из Интернета, поскольку они могут создавать серьезные угрозы безопасности. Они также должны быть отключены в локальной сети, если они не нужны. Интернет-сервисы, такие как Shields UP от Gibson Research Corporation (GRC), могут сканировать общедоступный IP-адрес вашего маршрутизатора для открытых портов. Shields Up также может сканировать UPnP отдельно.
- Обновите прошивку своего маршрутизатора. Некоторые маршрутизаторы позволяют проверять обновления прошивки непосредственно из интерфейса, в то время как другие даже имеют функцию автоматического обновления. Иногда эти проверки могут быть нарушены из-за изменений на серверах производителя на протяжении многих лет. Рекомендуется регулярно проверять сайт поддержки производителя вручную на наличие обновлений прошивки для вашей модели маршрутизатора.
Более сложные шаги по защите
- Сегментацию сети можно использовать для изоляции опасных устройств. Некоторые потребительские маршрутизаторы предлагают возможность создавать виртуальные локальные сети (виртуальные локальные сети) внутри более крупной частной сети. Эти виртуальные сети могут быть использованы для изоляции устройств интернет-вещания, которые, как показали исследователи, полны уязвимостей. Многие устройства IoT можно контролировать через приложения для смартфонов через внешние облачные сервисы, поэтому, пока у них есть доступ в Интернет, эти устройства не должны иметь возможность общаться со смартфонами непосредственно через локальную сеть после первоначальной настройки. IoT-устройства часто выставляют незащищенные административные протоколы в локальную сеть, чтобы злоумышленник мог легко врезаться в такое устройство с зараженного компьютером компьютера, если оба они находятся в одной сети.
- Фильтрация MAC-адресов может содержать устройства-исключения в сети Wi-Fi. Многие маршрутизаторы позволяют ограничивать, какие устройства разрешены в сети Wi-Fi на основе их MAC-адреса — уникальный идентификатор их физической сетевой карты. Включение этой функции может помешать злоумышленникам подключиться к сети Wi-Fi, даже если они украли свой пароль. Недостатком является то, что вручную разрешенные легитимные устройства могут быстро стать административным бременем для более крупных сетей.
- Переадресация портов должна сочетаться с IP-фильтрацией. Сервисы, запущенные на компьютере за маршрутизатором, недоступны из Интернета, если на маршрутизаторе не определены правила переадресации портов. Многие программные средства будут пытаться автоматически открывать порты в маршрутизаторе через UPnP, что не всегда безопасно. Если UPnP отключен, правила могут быть добавлены вручную, а некоторые маршрутизаторы предлагают возможность указать IP-адрес источника или netblock, которые могут подключаться к определенному порту для доступа к определенной службе внутри сети. Например, если вы хотите получить доступ к FTP-серверу на вашем домашнем компьютере с работы, вы можете создать правило переадресации портов для порта 21 (FTP) в своем маршрутизаторе, но только разрешить соединения с IP-блоком вашей компании.
- Пользовательская прошивка может быть более безопасной, чем заводская прошивка. Существует несколько Linux-приложений, поддерживаемых сообществом, прошивки для широкого круга домашних маршрутизаторов. OpenWRT, DD-WRT и Asuswrt-Merlin (только для маршрутизаторов Asus) являются одними из самых популярных. Они обычно предлагают более продвинутые функции и настройки, чем заводская прошивка, и их разработчики быстрее исправляют недостатки, если они идентифицированы, чем поставщики маршрутизаторов. Поскольку эти пакеты прошивки нацелены на энтузиастов, количество устройств, которые их используют, намного ниже, чем у тех, которые используют прошивку, поставляемую поставщиком. Это делает распространенные атаки против пользовательской прошивки менее вероятными. Тем не менее, очень важно помнить, что загрузка пользовательской прошивки на маршрутизаторе требует значительных технических знаний, скорее всего, аннулирует ее гарантию и, если это будет сделано неправильно, может привести к невозможности использования устройства. Вы были предупреждены!
