Донецкий техникум промышленной автоматики

Як налаштувати домашній роутер, щоб зробити мережу безпечною

  1. 1. Змініть дані адміністратора за замовчуванням
  2. 2. Встановіть або змініть паролі для доступу до локальної мережі
  3. 3. Вимкніть WPS
  4. 4. Змініть найменування SSID
  5. 5. Змініть IP роутера
  6. 6. Вимкніть віддалене адміністрування
  7. 7. Оновлення прошивки
  8. 8. Перейдіть в діапазон 5 ГГц
  9. 9. Вимкніть функції PING, Telnet, SSH, UPnP і HNAP
  10. 10. Увімкніть брандмауер роутера
  11. 11. Вимкніть фільтрацію по MAC-адресами
  12. 12. Перейдіть на інший DNS-сервер
  13. 13. Встановіть альтернативну «прошивку»

C розповсюдженням широкосмугового доступу в інтернет і кишенькових гаджетів стали надзвичайно популярні бездротові роутери (маршрутизатори). Такі пристрої здатні роздавати сигнал по протоколу Wi-Fi як на стаціонарні комп'ютери, так і на мобільні пристрої - смартфони та планшети, - при цьому пропускної здатності каналу цілком достатньо для одночасного підключення декількох споживачів.

Сьогодні бездротової роутер є практично в будь-якому будинку, куди проведений широкосмуговий інтернет. Однак далеко не всі власники таких пристроїв замислюються над тим, що при настройках за умовчанням вони надзвичайно уразливі для зловмисників. І якщо ви вважаєте, що не робите в інтернеті нічого такого, що могло б вам пошкодити, задумайтеся над тим, що перехопивши сигнал локальної бездротової мережі, зломщики можуть отримати доступ не тільки до вашої особистої листуванні, але і до банківського рахунку, службових документів і будь-яким іншим файлам.

Хакери можуть не обмежитися дослідженням пам'яті виключно ваших власних пристроїв - їх вміст може підказати ключі до мереж вашої компанії, ваших близьких і знайомих, до даних всіляких комерційних і державних інформаційних систем. Більш того, через вашу мережу і від вашого імені зловмисники можуть проводити масові атаки, зломи, незаконно поширювати мультимедійні дані і програмне забезпечення і займатися іншою кримінально караною діяльністю.

Тим часом, щоб убезпечити себе від подібних загроз, варто слідувати лише декільком простим правилам, які зрозумілі і доступні навіть тим, хто не має спеціальних знань в області комп'ютерних мереж. Пропонуємо вам ознайомитися з цими правилами.

1. Змініть дані адміністратора за замовчуванням

Щоб отримати доступ до налаштувань вашого роутера, необхідно зайти в його веб-інтерфейс. Для цього вам потрібно знати його IP-адресу в локальній мережі (LAN), а також логін і пароль адміністратора.

Внутрішній IP-адреса роутера за замовчуванням, як правило, має вигляд 192.168.0.1, 192.168.1.1, 192.168.100.1 або, наприклад, 192.168.123.254 - він завжди вказано в документації до апаратури. Дефолтні логін і пароль зазвичай також повідомляються в документації, або їх можна дізнатися у виробника роутера або вашого провайдера послуг.

Вводимо IP-адреса роутера в адресний рядок браузера, а в вікні, що з'явилося вводимо логін і пароль. Перед нами відкриється веб-інтерфейс маршрутизатора з найрізноманітнішими настройками.

Ключовий елемент безпеки домашньої мережі - можливість зміни налаштувань, тому потрібно обов'язково змінити всі дані адміністратора за замовчуванням, адже вони можуть використовуватися в десятках тисяч примірників таких же роутерів, як і у вас. Знаходимо відповідний пункт і вводимо нові дані.

Знаходимо відповідний пункт і вводимо нові дані

У деяких випадках можливість довільного зміни даних адміністратора заблокована провайдером послуг, і тоді вам доведеться звертатися за допомогою до нього.

2. Встановіть або змініть паролі для доступу до локальної мережі

Ви будете сміятися, але все ще трапляються випадки, коли щедрий володар бездротового роутера організовує відкриту точку доступу, до якої може підключитися кожен. Набагато частіше для домашньої мережі вибираються псевдопаролі типу «1234» або якісь банальні слова, задані при установці мережі. Щоб мінімізувати ймовірність того, що хтось зможе з легкістю забратися в вашу мережу, потрібно придумати справжній довгий пароль з букв, цифр і символів, і встановити рівень шифрування сигналу - бажано, WPA2.

3. Вимкніть WPS

Технологія WPS (Wi-Fi Protected Setup) дозволяє швидко налагодити захищену бездротову зв'язок між сумісними пристроями без докладних налаштувань, а лише натисненням відповідних кнопок на роутері і гаджет або шляхом введення цифрового коду.

Тим часом, у цій зручної системи, зазвичай включеної за замовчуванням, є одне слабке місце: оскільки WPS не враховує число спроб введення неправильного коду, вона може бути зламана «грубою силою» шляхом простого перебору за допомогою найпростіших утиліт. Буде потрібно від декількох хвилин до декількох годин, щоб проникнути в вашу мережу через код WPS, після чого не складе особливих труднощів обчислити і мережевий пароль.

Буде потрібно від декількох хвилин до декількох годин, щоб проникнути в вашу мережу через код WPS, після чого не складе особливих труднощів обчислити і мережевий пароль

Тому знаходимо в «адмінки» відповідний пункт і відключаємо WPS. На жаль, внесення змін в налаштування далеко не завжди дійсно відключить WPS, а деякі виробники взагалі не передбачають такої можливості.

4. Змініть найменування SSID

Ідентифікатор SSID (Service Set Identifier) ​​- це назва вашої бездротової мережі. Саме його «згадують» різні пристрої, які при розпізнаванні назви і наявності необхідних паролів намагаються підключитися до локальної мережі. Тому якщо ви збережете стандартну назву, встановлене, наприклад, вашим провайдером, то є ймовірність того, що ваші пристрої будуть намагатися підключитися до безлічі найближчих мереж з тією ж самою назвою.

Більш того, роутер, який транслює стандартний SSID, більш вразливий для хакерів, які будуть приблизно знати його модель і звичайні налаштування, і зможуть нанести удар в конкретні слабкі місця такій конфігурації. Тому виберіть якомога більше унікальну назву, нічого не говорить ні про провайдера послуг, ні про виробника обладнання.

Тому виберіть якомога більше унікальну назву, нічого не говорить ні про провайдера послуг, ні про виробника обладнання

При цьому часто зустрічається рада приховувати трансляцію SSID, а така опція стандартна для переважної більшості роутерів, насправді неспроможний. Справа в тому, що всі пристрої, які намагаються підключитися до вашої мережі, в будь-якому випадку будуть перебирати найближчі точки доступу, і можуть підключитися до мереж, спеціально «розставлених» зловмисниками. Іншими словами, приховуючи SSID, ви ускладнюєте життя тільки самим собі.

5. Змініть IP роутера

Щоб ще більше ускладнити несанкціонований доступ до веб-інтерфейсу роутера і його налаштувань, змініть в них внутрішній IP-адреса (LAN) за замовчуванням.

6. Вимкніть віддалене адміністрування

Для зручності технічної підтримки (в основному) у багатьох побутових роутерах реалізована функція віддаленого адміністрування, за допомогою якої настройки роутера стають доступні через інтернет. Тому, якщо ми не хочемо проникнення ззовні, цю функцію краще відключити.

При цьому, однак, залишається можливість зайти в веб-інтерфейс через Wi-Fi, якщо зловмисник знаходиться в полі дії вашої мережі і знає логін і пароль. У деяких роутерах є функція обмежити доступ до панелі тільки при наявності проводового підключення, проте, на жаль, ця опція зустрічається досить рідко.

7. Оновлення прошивки

Кожен поважаючий себе і клієнтів виробник роутерів постійно вдосконалює програмне забезпечення свого обладнання і регулярно випускає оновлені версії мікропрограм ( «прошивок»). У свіжих версіях насамперед виправляються виявлені вразливості, а також помилки, що впливають на стабільність роботи.

Саме тому ми настійно рекомендуємо регулярно перевіряти оновлення мікропрограм і встановлювати їх на свій роутер. У більшості випадків це можна зробити безпосередньо через веб-інтерфейс.

Зверніть увагу на те, що після поновлення всі зроблені вами настройки можуть скинутися до заводських, тому є сенс зробити їх резервну копію - також через веб-інтерфейс.

8. Перейдіть в діапазон 5 ГГц

Базовий діапазон роботи мереж Wi-Fi - це 2,4 ГГц. Він забезпечує впевнений прийом більшістю існуючих пристроїв на відстані приблизно до 60 м в приміщенні і до 400 м поза приміщенням. Перехід в діапазон 5 ГГц знизить дальність зв'язку в два-три рази, обмеживши для сторонніх можливість проникнути в вашу бездротову мережу. За рахунок меншої зайнятості діапазону, ви зможете також зауважити підвищити швидкість передачі даних і стабільність з'єднання.

Мінус у цього рішення тільки один - далеко не всі пристрої працюють c Wi-Fi стандарту IEEE 802.11ac в діапазоні 5 ГГц.

9. Вимкніть функції PING, Telnet, SSH, UPnP і HNAP

Якщо ви не знаєте, що ховається за цими абревіатурами, і не впевнені, що ці функції вам обов'язково будуть потрібні, знайдіть їх в настройках роутера і відключіть. Якщо є така можливість, замість закриття портів, виберіть прихований режим (stealth), який при спробах зайти на них ззовні зробить ці порти «невидимими», ігноруючи запити і «пінг».

10. Увімкніть брандмауер роутера

Якщо у вашому роутере є вбудований брандмауер, то рекомендуємо його включити. Звичайно, це не бастіон абсолютного захисту, але в комплексі з програмними засобами (навіть з вбудованим в Windows брандмауер) він здатний цілком гідно чинити опір атакам.

11. Вимкніть фільтрацію по MAC-адресами

Хоча на перший погляд здається, що можливість підключення до мережі тільки пристроїв з конкретними MAC-адресами повністю гарантує безпеку, в дійсності це не так. Більш того, воно робить мережу відкритою навіть для не дуже винахідливих хакерів. Якщо зловмисник зможе відстежити вхідні пакети, то він швидко отримає список активних MAC-адрес, оскільки в потоці даних вони передаються в незашифрованому вигляді. А підмінити MAC-адресу не проблема навіть для непрофесіонала.

12. Перейдіть на інший DNS-сервер

Замість використання DNS-сервера вашого провайдера, можна перейти на альтернативні, наприклад, Google Public DNS або OpenDNS . З одного боку, це може прискорити видачу інтернет-сторінок, а з іншого, підвищити безпеку. Наприклад, OpenDNS блокує віруси, ботнети і фішингові запити з будь-якого порту, протоколу і з додатком, і завдяки спеціальним алгоритмам на базі Великих Даних здатний передбачати і запобігати різноманітні загрози і атаки. При цьому Google Public DNS - це просто швидкісний DNS-сервер без додаткових функцій.

13. Встановіть альтернативну «прошивку»

І, нарешті, радикальний крок для того, хто розуміє, що робить, - це установка прошивки, написані не виробником вашого роутера, а ентузіастами. Як правило, такі «прошивки» не тільки розширюють функціональність пристрою (зазвичай додаються підтримка професійних функцій на зразок QoS, режиму моста, SNMP і т.д), але і роблять його більш стійким до уязвимостям - в тому числі і за рахунок нестандартності.

Серед популярних open-source «прошивок» можна назвати засновані на Linux DD-WRT , OpenWrt і Tomato .