Воняет безопасность вашего роутера: вот как это исправить
[This story was originally published in July 2014 and has been updated with new information ever since.]Большинство шлюзовых маршрутизаторов, используемых домашними клиентами, абсолютно небезопасны. «Некоторые маршрутизаторы настолько уязвимы для атак, что их следует выбросить», – сказал эксперт по безопасности на хакерской конференции HOPE X в Нью-Йорке. «Если маршрутизатор продается по адресу: [a well-known retail electronics chain], вы не хотите его покупать “, – сказал независимый компьютерный консультант Майкл Горовиц в презентации.” Если ваш маршрутизатор предоставлен вам вашим интернет-провайдером [ISP], вы тоже не хотите его использовать, потому что они раздают миллионы, и это делает их главной целью как для шпионских агентств, так и для плохих парней ». Горовиц рекомендовал, чтобы потребители, заботящиеся о безопасности, вместо этого обновились до коммерческих маршрутизаторов, предназначенных для небольших предприятия, или, по крайней мере, разделить свои модемы и маршрутизаторы на два отдельных устройства. (Многие «шлюзовые» устройства, часто поставляемые интернет-провайдерами, действуют как и то, и другое.) В случае неудачи любого из этих вариантов Горовиц привел список мер предосторожности, которые пользователи могут предпринять.
- Маршрутизатор VPN – лучший способ обезопасить свой Wi-Fi дома
Проблемы с потребительскими роутерами
Маршрутизаторы являются незаменимыми рабочими лошадками современных компьютерных сетей, но мало кто из домашних пользователей понимает, что они на самом деле полноценные компьютеры со своими собственными операционными системами, программным обеспечением и уязвимостями. «Скомпрометированный маршрутизатор может шпионить за вами», – сказал Хоровиц, объясняя что маршрутизатор, находящийся под контролем злоумышленника, может организовать атаку типа “злоумышленник посередине”, изменить незашифрованные данные или отправить пользователя на веб-сайты “злых близнецов”, маскирующиеся под часто используемые веб-сайты электронной почты или порталы онлайн-банкинга. Многие домашние порталы потребительского уровня. По словам Хоровица, шлюзовые устройства не уведомляют пользователей о появлении обновлений прошивки, даже если эти обновления необходимы для исправления дыр в безопасности. Некоторые другие устройства не принимают пароли длиной более 16 символов. Миллионы маршрутизаторов по всему миру имеют сетевой протокол UPnP, включенный на портах с выходом в Интернет, что делает их уязвимыми для внешних атак ». UPnP был разработан для локальных сетей [local area networks], и, как таковой, у него нет безопасности. Само по себе это не такая уж большая проблема », – сказал Горовиц. Но, добавил он,« UPnP в Интернете – это все равно что пойти на операцию и заставить врача работать не на той ноге ». Еще одна проблема – это администрация домашней сети. Протокол (HNAP), инструмент управления, который можно найти на некоторых старых маршрутизаторах потребительского уровня, который передает конфиденциальную информацию о маршрутизаторе через Интернет по адресу http: //[router IP address]/ HNAP1 /, и предоставляет полный контроль удаленным пользователям, которые предоставляют административные имена пользователей и пароли (которые многие пользователи никогда не меняют с заводских настроек по умолчанию). В 2014 году маршрутизатор-червь под названием TheMoon использовал протокол HNAP для идентификации уязвимых маршрутизаторов марки Linksys, к которым он мог распространяться. (Linksys быстро выпустила патч для прошивки.) «Как только вы вернетесь домой, вы захотите сделать это со всеми своими маршрутизаторами», – сказал Хоровиц технически подкованной толпе. «Перейдите в / HNAP1 /, и, надеюсь, вы не получите ответа, если это единственное, что хорошо. Честно говоря, если вы получите ответ, я бы выбросил маршрутизатор».
- Настройка виртуального маршрутизатора – идеальный способ поделиться своими подключениями
Угроза WPS
Хуже всего то, что Wi-Fi Protected Setup (WPS) – это простая в использовании функция, которая позволяет пользователям обходить сетевой пароль и подключать устройства к сети Wi-Fi, просто вводя восьмизначный PIN-код, напечатанный на самом маршрутизаторе. . Даже если сетевой пароль или имя сети изменяются, PIN-код остается действующим. «Это огромная проблема безопасности, связанная с удалением ругательств», – сказал Хоровиц. “Это восьмизначное число приведет вас к [router] не важно что. Итак, сантехник приходит к вам домой, переворачивает маршрутизатор, фотографирует его нижнюю часть, и теперь он может навсегда войти в вашу сеть ». Этот восьмизначный PIN-код на самом деле даже не восемь цифр, – объяснил Горовиц. На самом деле это семь цифр плюс последняя цифра контрольной суммы. Первые четыре цифры проверяются как одна последовательность, а последние три – как другая, в результате получается только 11 000 возможных кодов вместо 10 миллионов ». Если WPS активен, вы можете войти в маршрутизатор “Вам просто нужно сделать 11 000 предположений” – тривиальная задача для большинства современных компьютеров и смартфонов. Затем есть сетевой порт 32764, который французский исследователь безопасности Элои Вандербекен в 2013 году обнаружил, был незаметно оставлен открытым на проданных шлюзовых маршрутизаторах. от нескольких крупных брендов. Используя порт 32764, любой пользователь в локальной сети, включая интернет-провайдера пользователя, мог получить полный административный контроль над маршрутизатором и даже выполнить сброс настроек без пароля. Порт был закрыт на большинстве затронутых устройств после Ва Ндербекена, но позже он обнаружил, что его можно легко повторно открыть с помощью специально разработанного пакета данных, который может быть отправлен от интернет-провайдера. «Это настолько очевидно, что это делается шпионским агентством, это потрясающе», – сказал Хоровиц. «Это было преднамеренно, без сомнения».
- Подробнее: Лучший VPN в Дубае может обойти драконовские законы об Интернете в ОАЭ
Как заблокировать домашний роутер
По словам Горовица, первым шагом к обеспечению безопасности домашнего маршрутизатора является проверка того, что маршрутизатор и кабельный модем не являются единым устройством. Многие интернет-провайдеры сдают такие устройства клиентам в аренду, но у них мало контроля над собственными сетями. (Если вам нужен собственный модем, ознакомьтесь с нашими рекомендациями по выбору лучшего кабельного модема.) «Если бы вам дали единственный ящик, который, как мне кажется, большинство людей называют шлюзом, – сказал он, – вы сможете связаться с Интернет-провайдеру и попросите их сделать так, чтобы он действовал как модем. Затем вы можете добавить к нему свой собственный маршрутизатор ». Затем Горовиц рекомендовал клиентам покупать недорогой коммерческий маршрутизатор Wi-Fi / Ethernet, такой как Pepwave Surf SOHO, который продается по розничной цене около 200 долларов (хотя будьте осторожны с завышенными ценами), а не за удобный для потребителя маршрутизатор, который может стоить всего 20 долларов. В маршрутизаторах коммерческого уровня вряд ли будут включены UPnP или WPS. Pepwave, как отметил Хоровиц, предлагает дополнительные функции, такие как откат прошивки в случае, если обновление прошивки идет не так. Независимо от того, является ли маршрутизатор коммерческим или потребительским, существует несколько вещей, от простого к сложному, что домашняя сеть администраторы могут сделать, чтобы их маршрутизаторы были более безопасными:
Легкие исправления
Измените учетные данные администратора с имени пользователя и пароля по умолчанию. Это первое, что попытается сделать злоумышленник. Руководство по эксплуатации вашего роутера должно показать вам, как это сделать. Если нет, то погуглите. Сделайте пароль длинным, надежным и уникальным и не делайте его чем-то похожим на обычный пароль для доступа к сети Wi-Fi. Измените имя сети или SSID из «Netgear», «Linksys» или любого другого значения по умолчанию, к чему-то уникальному, но не называйте его именем, которое идентифицирует вас. «Если вы живете в многоквартирном доме в квартире 3G, не называйте свой SSID« Квартира 3G »», – пошутил Горовиц. «Назовите это« Квартира 5F »». Включите автоматические обновления прошивки, если они доступны. Новые маршрутизаторы, в том числе большинство ячеистых маршрутизаторов, будут автоматически обновлять прошивку маршрутизатора. Включите беспроводное шифрование WPA2, чтобы только авторизованные пользователи могли подключаться к вашей сети. Если ваш маршрутизатор поддерживает только старый стандарт WEP, пришло время установить новый маршрутизатор. Включите новый стандарт шифрования WPA3, если маршрутизатор его поддерживает. Однако по состоянию на середину 2020 года некоторые маршрутизаторы и клиентские устройства (ПК, мобильные устройства, устройства умного дома) работают. Отключите защищенную настройку Wi-Fi, если ваш маршрутизатор позволяет вам. Настройте гостевую сеть Wi-Fi и предложите ее. использовать посетителям, если в вашем роутере есть такая функция. Если возможно, настройте гостевую сеть на автоматическое отключение по прошествии заданного периода времени. «Вы можете включить гостевую сеть и установить таймер, и через три часа она отключится», – сказал Горовиц. «Это действительно хорошая функция безопасности». Если у вас много устройств для умного дома или Интернета вещей, скорее всего, многие из них не будут очень безопасными. Подключите их к своей гостевой сети Wi-Fi, а не к основной сети, чтобы минимизировать ущерб в результате любого потенциального взлома устройства IoT. Не используйте облачное управление маршрутизатором, если это предлагает производитель вашего маршрутизатора. Вместо этого подумайте, можете ли вы отключить эту функцию. «Это действительно плохая идея», – сказал Горовиц. «Если ваш маршрутизатор предлагает это, я бы не стал этого делать, потому что теперь вы доверяете другому человеку между вами и своим маршрутизатором». Многие системы «ячеистого маршрутизатора», такие как Google Wifi и Eero, полностью зависят от облака и могут взаимодействовать с пользователем только через облачные приложения для смартфонов. Хотя эти модели предлагают улучшения безопасности в других областях, например, с автоматическим обновлением прошивки, возможно, стоит поискать маршрутизатор в виде ячеистой сети, который разрешает локальный административный доступ, например Netgear Orbi.
Умеренно сложно
Установите новую прошивку, когда она станет доступной – так производители маршрутизаторов устанавливают исправления безопасности. Регулярно входите в административный интерфейс вашего маршрутизатора для проверки. Для некоторых брендов вам, возможно, придется проверять веб-сайт производителя на предмет обновлений прошивки. Но имейте под рукой резервный маршрутизатор, если что-то пойдет не так. Некоторые маршрутизаторы также позволяют создать резервную копию текущей прошивки перед установкой обновления. Настройте маршрутизатор на использование диапазона 5 ГГц для Wi-Fi вместо более стандартного диапазона 2,4 ГГц, если это возможно, и если все ваши устройства совместимы. «Диапазон 5 ГГц не распространяется на диапазон 2,4 ГГц», – сказал Хоровиц. «Так что, если в квартале или двух от вас есть плохой парень, он может видеть вашу сеть 2,4 ГГц, но может не видеть вашу сеть 5 ГГц». Отключите удаленный административный доступ и отключите административный доступ через Wi-Fi. Fi. Администраторы должны подключаться к маршрутизаторам только через проводной Ethernet. (Опять же, это невозможно для многих ячеистых маршрутизаторов.)
Дополнительные советы для технически подкованных пользователей
Измените настройки административного веб-интерфейса, если это позволяет ваш маршрутизатор. В идеале интерфейс должен обеспечивать безопасное соединение HTTPS через нестандартный порт, чтобы URL-адрес для административного доступа был примерно таким, как в примере Горовица, «https://192.168.1.1:82» вместо более стандартного. «http://192.168.1.1», который по умолчанию использует стандартный интернет-порт 80. Используйте инкогнито или частный режим браузера при доступе к административному интерфейсу, чтобы ваш новый URL-адрес не сохранялся в истории браузера. Отключите PING, Telnet , SSH, UPnP и HNAP, если возможно. Все это протоколы удаленного доступа. Вместо того, чтобы устанавливать для соответствующих портов значение «закрыто», установите для них значение «скрытность», чтобы не было ответа на незапрошенные внешние сообщения, которые могут исходить от злоумышленников, исследующих вашу сеть. «Каждый маршрутизатор имеет возможность не отвечать на команды PING “Сказал Горовиц. «Это абсолютно то, что вам нужно включить – отличная функция безопасности. Она помогает вам спрятаться. Конечно, вы не собираетесь прятаться от вашего интернет-провайдера, но вы собираетесь спрятаться от какого-то парня из России или Китая». Измените сервер системы доменных имен (DNS) маршрутизатора с собственного сервера интернет-провайдера на сервер, поддерживаемый OpenDNS (208.67.220.220, 208.67.222.222), Google Public DNS (8.8.8.8, 8.8.4.4) или Cloudflare (1.1.1.1, 1.0 .0.1). Если вы используете IPv6, соответствующие адреса OpenDNS – 2620: 0: ccc :: 2 и 2620: 0: ccd :: 2, адреса Google – 2001: 4860: 4860 :: 8888 и 2001: 4860: 4860 :: 8844, а Cloudflare – 2606: 4700: 4700 :: 1111 и 2606: 4700: 4700 :: 1001. Используйте маршрутизатор виртуальной частной сети (VPN), чтобы дополнить или заменить существующий маршрутизатор и зашифровать весь сетевой трафик ». Я говорю VPN-маршрутизатор, я имею в виду маршрутизатор, который может быть VPN-клиентом, – сказал Горовиц. «Затем вы регистрируетесь в какой-нибудь компании VPN, и все, что вы отправляете через этот маршрутизатор, проходит через их сеть. Это отличный способ скрыть то, что вы делаете, от своего интернет-провайдера». Многие домашние маршрутизаторы Wi-Fi могут быть “прошитым” для запуска прошивок с открытым исходным кодом, таких как Прошивка DD-WRT, который, в свою очередь, изначально поддерживает протокол OpenVPN. Большинство лучших VPN-сервисов также поддерживают OpenVPN и предоставляют инструкции по настройке маршрутизаторов с открытым исходным кодом для их использования. Наконец, воспользуйтесь сервисом сканирования портов Shields Up от Gibson Research Corp. https://www.grc.com/shieldsup. Он проверит ваш маршрутизатор на наличие сотен распространенных уязвимостей, большинство из которых может быть устранено администратором маршрутизатора.