Якщо ви не знаєте, чим зайняти себе довгими осінніми вечорами, то можете витратити трохи часу на те, щоб переконатися в безпеці власної домашньої Wi-Fi мережі. Підготовлений Департаментом кіберполіції України набір рекомендацій може здатися надто очевидним для просунутих користувачів, проте навіть їм не завадить пробігтися по пунктах і переконатися, що вони не забули включити всі необхідні параметри. А ось тим, кому роутер налаштував поспішає майстер провайдера, ці поради варто прочитати в обов'язковому порядку.
На сьогоднішній день переважна більшість користувачів домашніх мереж використовує Wi-Fi роутери для доступу до Інтернет, проте не менш часто Wi-Fi роутери використовуються зловмисниками для здійснення шахрайських дій. Так яким же чином убезпечити свій домашній роутер від несанкціонованого втручання?
Що зловмисник може здійснити перебуваючи у вашій Wi-Fi мережі?
1) Змінити настройки DNS-сервера. Будь-яке доменне ім'я, наприклад google.com.ua, відповідає індивідуальним IP-адресою. Сайт google.com.ua відповідає IP-адресою 74.125.232.255, і якщо ввести в браузері замість імені сайту google.com.ua IP-адреса 74.125.232.255, то завдяки DNS-сервера буде здійснено перехід на сайт google.com.ua.
Зловмисник може змінити DNS-сервер на свій власний і налаштувати, наприклад, щоб браузер при введенні сайту google.com.ua переходив на його особистий IP-адреса, в результаті чого буде здійснено перехоплення веб-трафіку або зараження вашого особистого ПК, або будь-якого пристрою , яке отримує доступ до глобальної мережі Інтернет з вашого роутера або точки доступу.
2) Наступне, що може здійснити зловмисник - це перехоплення вашої особистої інформації шляхом атаки «атака посередника» або «людина посередині» (man-in-the-middle, MitM). За допомогою такої атаки весь веб-трафік, яким за замовчуванням відправляється до Wi-Fi роутера, буде відправлений спочатку хакеру, а потім від хакера до роутера, таким чином, що Wi-Fi роутер не помітить змін. Така атака дозволяє хакеру вкрасти ваші особисті дані (логіни, паролі), переглянути ваш веб-трафік (сайти на які ви заходили) і т.д.
3) Слід зазначити, що перебуваючи у вашому особистому Wi-Fi мережі хакер може здійснювати хакерські атаки (зломи сайтів, DDOS-атаки, додавати ваші пристрої до бот-мереж, завантажувати дитячу порнографію і т.д.) та інші незаконні дії від вашого імені, оскільки Wi-Fi роутер має IP-адресу, який вам надав ваш провайдер при сплаті Інтернет послуг. Також на вашу IP-адресою будуть ідентифікуватися всі пристрої (смартфони, планшети, ноутбуки і т.д.), підключені до вашого роутеру або точки доступу в мережі Інтернет.
Департамент кіберполіції радить:
1) Приховувати назву Wi-Fi мережі.
Назва мережі або SSID (Service Set Identifier) - це ім'я, яке бачать всі навколишні при пошуку мережі. Знаючи цю назву можна підключитися до тієї чи іншої Wi-Fi мережі. За замовчуванням роутери і точки доступу показують назву мережі всім бажаючим. Назву можна відключити в розділі «настройки бездротових мереж» (Wireless Settings) вашого роутера або точки доступу. В даному розділі є опція «включити SSID» (Enable SSID) або «відключити SSID» (Disable SSID).
2) Включати шифрування.
Ця установка також знаходиться в розділі «настройки бездротових мереж» (Wireless Settings) і називається «тип шифрування» (Encryption settings). Залежно від типу роутера або точки доступу зазвичай там присутня приблизно 5 варіантів на вибір.
WEP (WIRED EQUIVALENT PRIVACY) - найслабший тип шифрування. До роутера або точки доступу з таким типом шифрування зловмисник може отримати доступ за 15 хвилин - 24 годин, в залежності від активності мережі. Не рекомендується до використання взагалі. WPS / QSS WPS, він же QSS, дозволяє клієнту підключитися до точки доступу за допомогою 8-символьного коду, що складається з цифр. У грудні 2011 Стефан Фібёк (англ. Stefan Viehböck) і Крейг Хеффнер (англ. Craig Heffner) розповіли про серйозні діри в протоколі WPS. Виявилося, що якщо в точці доступу активований WPS c PIN (який за замовчуванням включений в більшості роутерів), то підібрати PIN-код для підключення можна за лічені години. Департамент кіберполіції рекомендує відключити цю опцію.
WPA і WPA2 (WI-FI PROTECTED ACCESS) підтримують два різних режими початкової аутентифікації (перевірка пароля доступу клієнта до мережі) - PSK і Enterprise. WPA-PSK і WPA2-PSK- це найпоширеніші на сьогоднішній день варіанти шифрування для домашніх Wi-Fi мереж. Підключення до мережі здійснюється за єдиним паролю, який вводиться на пристрої при підключенні, різниця в типі шифрування, WPA-PSK - тип шифрування TKIP, WPA2-PSK - AES (посилений тип шифрування). WPA Enterprise відрізняється від WPA-PSK тим, що для використання необхідно налаштувати сервер - RADIUS (Remote Authentication Dial In User Service). По суті сервер RADIUS - це служба віддаленої аутентифікації користувачів, яка перевіряє облікові дані користувача для доступу до мережі.
3) Фільтрувати MAC-адреси.
Ще один спосіб захистити власну домашню Wi-Fi мережу - це фільтрація пристроїв по MAC-адресу. MAC-адреса - це унікальний номер (типу серійного номера) мережевий Ethernet або Wi-Fi карти. У настройки роутера або точки доступу необхідно додати MAC-адреси тих пристроїв, які будуть підключатися до вашого роутеру або точки доступу. Користувачі з MAC-адресами відмінними від тих, які вказані в настройках, що не будуть з'єднані з роутером або точкою доступу, навіть при правильному введенні пароля доступу.
У поширених моделях роутерів дана функція називається «фільтрація MAC-адрес» (MAC Filtering). В операційних системах Windows MAC-адресу можна подивитися за допомогою комбінації клавіш Windows + R і введення команди cmd, в результаті чого відкриється командний рядок Windows, в подальшому необхідно ввести ipconfig / all, далі шукаємо рядок бездротове з'єднання з мережею (wireless network connection) і копіюємо значення фізичну адресу (physical address) - це і є MAC-адресу. У системах типу Unix необхідно ввести команду ifconfig.
4) Відключати доступ до адміністрування роутера або точки доступу з глобальної мережі Інтернет.
Найчастіше Wi-Fi роутери підтримують функцію віддаленого адміністрування через інтернет. Однак для більшості користувачів немає необхідності в віддаленій налаштування Wi-Fi. Залишивши цю функцію ви створюєте додаткову точку входу, якою може скористатися зловмисник, щоб отримати доступ до вашої Wi-Fi мережі.
Департамент кіберполіції України радить при налаштуванні вашої особистої Wi-Fi мережі не використовувати налаштування за замовчуванням і користуватися цією інструкцією.
джерело: Департамент кіберполіції України
Так яким же чином убезпечити свій домашній роутер від несанкціонованого втручання?Що зловмисник може здійснити перебуваючи у вашій Wi-Fi мережі?
