Не все проблемы безопасности маршрутизатора могут быть исправлены пользователями, но есть много действий, которые можно предпринять, чтобы защитить их от атак.
Многие пользователи не понимают этого, но их интернет-маршрутизаторы могут быть самыми важными электронными устройствами, которые они имеют в своих домах. Маршрутизаторы связывают большинство других устройств вместе и с внешним миром, поэтому они занимают очень привилегированное положение, которое хакеры часто пытаются использовать. За последние несколько лет число ботнетов, состоящих из взломанных маршрутизаторов, увеличилось, и эти ботнеты использовались злоумышленниками.
К сожалению, многие маршрутизаторы для потребителей и малого бизнеса поставляются с небезопасными конфигурациями по умолчанию, имеют недокументированные бэкдор-учетные записи, предоставляют устаревшие сервисы и имеют встроенное программное обеспечение, которое пронизано основными недостатками. Пользователи не могут решить некоторые из этих проблем, но они могут предпринять действия, чтобы хотя бы защитить эти устройства от крупномасштабных автоматических атак.
Избегайте использования маршрутизаторов, предоставляемых интернет-провайдерами
Эти маршрутизаторы, как правило, менее безопасны, чем те, которые продаются производителями потребителям. Они часто имеют жестко запрограммированные учетные данные или протоколы удаленной поддержки - TR-069, которые пользователи не могут изменить или отключить. Патчи для их пользовательских версий прошивок отстают от патчей, выпущенных производителями маршрутизаторов для их розничных моделей.
Если вы вынуждены использовать модем, предоставленный вашим Интернет-провайдером, для включения таких услуг, как VoIP, лучше настроить его в режиме моста и установить собственный маршрутизатор за ним, чтобы дать вам лучший контроль над сетью и тем, как ваши устройства подключаются к Интернету.
Изменить пароль администратора по умолчанию
Многие маршрутизаторы поставляются с паролями администратора по умолчанию, и злоумышленники постоянно пытаются взломать устройства, используя эти общедоступные учетные данные. После первого подключения к интерфейсу управления маршрутизатора через браузер - адрес должен быть IP-адресом маршрутизатора по умолчанию, который указан на его нижней наклейке или указан в руководстве по настройке, - прежде всего убедитесь, что вы изменили пароль ,
Интерфейс управления маршрутизатором не должен быть доступен из Интернета
Для большинства пользователей управление маршрутизатором извне локальной сети не требуется. Если требуется удаленное управление, рассмотрите возможность использования решения VPN (виртуальная частная сеть), чтобы сначала установить безопасный туннель в локальную сеть, а затем получить доступ к интерфейсу маршрутизатора изнутри.
Внутри локальной сети также полезно ограничить, какие IP-адреса (интернет-протокол) могут управлять маршрутизатором. Если эта опция доступна, разрешите доступ с одного IP-адреса, который не является частью пула IP-адресов, назначенных компьютерам через DHCP (протокол динамической конфигурации хоста). Например, настройте DHCP-сервер маршрутизатора на автоматическое назначение IP-адресов с 192.168.0.1 по 192.168.0.50 клиентам, а затем настройте веб-интерфейс так, чтобы доступ разрешался только с 192.168.0.53. Ваш компьютер может быть настроен вручную для использования этого адреса, когда вам нужно выполнить административные задачи на маршрутизаторе.
Включите доступ HTTPS к интерфейсу маршрутизатора, если он доступен
Всегда выходите из системы, когда ваша задача управления выполнена. При работе с маршрутизатором используйте браузер в инкогнито или приватном режиме, чтобы сессионные куки не оставались позади и никогда не позволяли браузеру сохранять имя пользователя и пароль маршрутизатора.
Если возможно, измените IP-адрес локальной сети маршрутизатора по умолчанию
Маршрутизаторам, скорее всего, будет присвоен первый адрес в заранее определенном сетевом блоке, например, 192.168.0.1. Если предлагается вариант, измените его на 192.168.0.99 или что-то еще, что легко запомнить и не входит в пул DHCP. Весь сетевой блок, используемый маршрутизатором, также может быть изменен на нестандартный - например, 192.168.10.x вместо 192.168.0.x.
Это защищает от атак подделки межсайтовых запросов (CSRF), которые захватывают браузеры пользователей при посещении вредоносных веб-сайтов и пытаются получить доступ к маршрутизаторам через них с использованием IP-адресов по умолчанию, обычно назначаемых таким устройствам.
Используйте поставщика услуг DNS, ориентированного на безопасность
По умолчанию ваш маршрутизатор будет настроен на пересылку запросов системы доменных имен (DNS) вашему провайдеру, что означает, что вы должны доверять своему провайдеру для поддержки безопасной службы поиска DNS. Поскольку DNS действует как интернет в телефонной книге, определяя IP-адреса веб-сайтов, которые вы хотите посетить, хакеры обычно нацеливают ее на то, чтобы направлять пользователей на вредоносные веб-сайты таким образом, который обычно трудно обнаружить. Такие компании, как Google, Cloudflare, OpenDNS (Cisco) и другие предлагают общедоступные распознаватели DNS, ориентированные на безопасность и даже имеющие зашифрованные версии.
Выберите сложный пароль Wi-Fi и надежный протокол безопасности
WPA2 (Wi-Fi Protected Access II) и более новый WPA3 должны быть предпочтительными вариантами, так как более старые версии WPA и WEP подвержены атакам методом перебора. Если маршрутизатор предлагает такую возможность, создайте гостевую беспроводную сеть, также защищенную WPA2 или WPA3 и надежным паролем. Используйте эту изолированную гостевую сеть для посетителей и друзей вместо своей основной. Эти пользователи могут не иметь злонамеренных намерений, но их устройства могут быть уже скомпрометированы или заражены вредоносным ПО еще до того, как они посещают вашу сеть.
Отключить WPS (Wi-Fi Protected Setup)
Это редко используемая функция, предназначенная для облегчения настройки пользователями сетей Wi-Fi, обычно с помощью PIN-кода, напечатанного на наклейке (на нижней части роутера). Во многих реализациях WPS многих лет назад была обнаружена серьезная уязвимость, которая позволяет хакерам проникать в сети. Поскольку сложно определить, какие конкретные модели маршрутизатора и версии микропрограммного обеспечения уязвимы, лучше просто отключить эту функцию, если это возможно. Вместо этого вы можете подключиться к веб-интерфейсу управления маршрутизатора, чтобы настроить Wi-Fi с WPA2 и пользовательским паролем - без WPS.
Ограничьте количество сервисов поддерживаемых маршрутизатором
Это особенно правильно, если вы сами не включили эти службы и не знаете, что они делают. Такие службы, как Telnet, UPnP (универсальный Plug and Play), SSH (Secure Shell) и HNAP (протокол администрирования домашней сети) не должны быть доступны из Интернета, поскольку они могут представлять серьезную угрозу безопасности. Они также должны быть отключены в локальной сети, если они не нужны. Онлайн-сервисы, такие как Shields UP от Gibson Research Corporation (GRC), могут сканировать открытый IP-адрес вашего маршрутизатора на наличие открытых портов. Shields Up также может сканировать UPnP отдельно. Бесплатные инструменты, такие как Nmap, можно использовать для сканирования интерфейса локальной сети маршрутизатора.
Обновляйте прошивку вашего роутера
Некоторые маршрутизаторы позволяют проверять интерфейс управления на наличие доступных обновлений прошивки, а некоторые даже предлагают автоматические обновления. Однако иногда эти проверки могут быть нарушены из-за изменений, внесенных со временем в серверы производителя. Рекомендуется регулярно проверять веб-сайт поддержки поставщика на наличие обновлений для вашей модели маршрутизатора. Эти обновления необходимо загрузить вручную, а затем прошить через веб-интерфейс управления маршрутизатора.
Продвинутые методы защиты маршрутизатора
Используйте сегментацию сети, чтобы изолировать опасные устройства
Некоторые маршрутизаторы предлагают возможность настройки VLAN (виртуальных локальных сетей), и вы можете использовать их для отделения устройств Интернета вещей (IoT) от ваших компьютеров, мобильных телефонов и других конфиденциальных компьютеров. За прошедшие годы исследователи показали, что в стремлении первыми выйти на рынок производители IoT не разрабатывают устройства с учетом требований безопасности, и это приводит к серьезным уязвимостям, которые хакеры могут использовать для проникновения в сети и нацеливания на другие ИТ-активы. Устройства IoT также часто поставляются с незащищенными административными протоколами, открытыми для локальных сетей, что делает их уязвимыми для атак с компьютеров, зараженных вредоносными программами в той же сети.
Использование VLAN помогает смягчить оба сценария и не ограничивает функциональность, поскольку большинство IoT-устройств управляются через приложения для смартфонов, подключенные к облачным сервисам. Если у них есть доступ к Интернету, большинству этих устройств не нужно связываться с мобильными телефонами или компьютерами напрямую через локальную сеть после первоначальной настройки.
Используйте фильтрацию MAC-адресов, чтобы уберечь неавторизованные устройства от сети Wi-Fi
Многие маршрутизаторы позволяют пользователям ограничивать, какие устройства разрешены в их сетях Wi-Fi, на основе MAC-адреса - уникального идентификатора их физической сетевой карты. Включение этой функции может помешать злоумышленникам подключиться к сети Wi-Fi, даже если они знают его пароль. Недостатком является то, что внесение в белый список допустимых устройств вручную может быстро стать административным бременем в больших сетях.
Объедините переадресацию портов с IP-фильтрацией
Службы, работающие на компьютере за маршрутизатором, не могут быть доступны из Интернета, если на маршрутизаторе не определены правила переадресации портов. Многие программы пытаются открыть порты в маршрутизаторе автоматически через UPnP, что не всегда безопасно. Если UPnP отключен, правила могут быть добавлены вручную, и некоторые маршрутизаторы предлагают возможность указать исходный IP-адрес или сетевой блок, который может подключаться к определенному порту для доступа к определенной службе внутри сети.
Например, если вы хотите получить доступ к FTP-серверу на своем домашнем компьютере с работы, вы можете создать правило переадресации портов для порта 21 (FTP) на вашем маршрутизаторе, но разрешить соединения только с сетевого IP-блока вашей компании.
Кастомная прошивка может быть более безопасной, чем заводская прошивка
Несколько поддерживаемых сообществом проектов микропрограмм предлагают широкий спектр домашних маршрутизаторов. libreCMC, OpenWRT, DD-WRT и Asuswrt-Merlin (только для маршрутизаторов Asus) являются одними из самых популярных. Эти основанные на Linux операционные системы обычно предлагают более продвинутые функции и настройки, чем заводские прошивки, и их поддержка быстрее устраняют недостатки при обнаружении, чем поставщики маршрутизаторов.
Поскольку эти пакеты микропрограмм предназначены для энтузиастов, количество устройств, которые их используют, намного меньше, чем тех, которые используют микропрограммы, поставляемые поставщиком. Это делает менее вероятными широкомасштабные и автоматические атаки на пользовательские прошивки, но это не следует рассматривать как гарантию безопасности. Также важно помнить, что загрузка - прошивка - нестандартная прошивка на маршрутизаторах требует значительных технических знаний, скорее всего, приведет к аннулированию гарантии и, если выполнена неправильно, может сделать устройства непригодными для использования.