Не всички стъпки за подобряване на сигурноста на вашия домашен рутер и мрежа могат да бъдат направени от обикновен потребител, но има неща, които може да предприемете за повишаването на сигурноста на вашата мрежа.
Повечето хора знаят, че най-важното IT устройство в техния дом е рутера. Накратко той свързва повечето домашни IT устройства със света, така че рутерът заема едно от първите места, които хакерите атакуват.
За нещастие много от рутерите предназанчени за домашна употреба и малък бизнес идват със слабо защитени настройки, отворени портове или стар фърмуер, който е пълен с грешки. Някои от тези проблеми не могат да бъдат разрешени от крайния потребител, но има някои стъпки, които можете да поемете, за да намалите рисковете от неоторизиран външен достъп до вашата мрежа.
Не позволявайте вашия рутер да стане лесна плячка за хакерите.
– Не ползвайте рутери доставени от вашия интернет провайдер
В повечето случаи големите провайдери осигуряват евтини устройства с ограничена функционалност и възможности. Някои от най-големите провайдери поръчват такива устройства със специален фирмуер (firmware) специално написан за техните нужди, но остарял спрямо най-новите версии на производителя. Купувайте от специализирани фирми за продажба и поддръжка на IT техника и мрежи.
– Променете паролата, с която идва рутера
Повечето рутери идват с елементарна парола известна на всички и записана на кутията на самото устройство. Хакерите знаят това и винаги пробват с тези известни пароли да влязат във вашата мрежа. Така, че когато за първи път се свържете с интерфейса на новия ви рутер, то първата ви работа е да смените първоначалната парола.
– Управляемия интерфейс, от който се правят всички настройки на вашия рутер не трябва да бъде достижим от интернет.
За повечето рутери свързаността до интерфейса на рутера извън вашата мрежа не е нужно. Ако все пак трябва достигате до управлението на вашия рутер, то е хубаво да става през по-сигурна връзка като VPN (Virtual Private Network). VPN създава сигурна връзка до вашата мрежа и оттам вече може да достигате до интерфейса за управление на рутера.
– Дори с достъп само от вътрешната мрежа е хубаво да зададете единствено кое вътрешно IP може да достига до интерфейса за управление на рутера
Ако има тази опция в рутера, то е най-хубаво да зададете ръчно статично IP, от което може да се достъпва до интерфейса на рутера. Това не трябва да става автоматично oт DHCP (Dynamic Host Configuration Protocol) на вашия компютър. Например, задайте в DHCP на вашия компютър да задава IP адреси от 192.168.0.1 до 192.168.0.50, а в интерфейса на вашия рутер да може да се свързва от IP адрес 192.168.0.53. Ръчно задайте във вашия компютър да ползва този IP адрес, когато трябва да се свързва към интерфейса на рутера.
– Включете опцията да влизате през HTTPs, ако е възможно и винаги излизайте (log out)
Използвайте браузер в инкогнито прозорец. По този начин нито една сесия с бисквитки няма да остане. Никога не давайте автоматично запомняне на потребителското име и паролата за влизане в рутера.
Променете IP адреса на рутера, ако е възможно.
Повечето рутери взимат първия възможен адрес, например, 192.168.0.1. Ако има възможност, променете го на 192.168.0.99 или нещо подобно, което лесно може да запомните. Може да промените IP адресите, които се ползват към група запазени за частни мрежи. По този начин ще се предпазите от атаки чрез фалшиви заявки (cross site request forgery CSRF), които най-често атакуват през браузера на потребителя и се стремят да се доберат до рутера чрез използването на IP адреси зададени по подразбиране.
– Използвайте сложна паролa за Wi Fi и силно защитен протокол.
WPA2 (Wi Fi Protected Access II) трябва да бъде избора, защото старите протоколи WPA & WEP са податливи на BFA. Ако рутерът има опцията, задайте мрежа само за гости също защитена чрез WPA2 и сложна парола. Така вашите гости ще използват изолирана само за гости мрежа, а не вашата основна. Паролата за мрежата за гости също трябва да е сложна. Вашите гости може да нямат лоши намерения, но устройствата, които ползват да са заразени със зловреден софтуер, който може да компрометира сигурноста на вашата мрежа.
– Изключете WPS (Wi Fi Protected Setup)
Tова е рядко използвана функция измислена да услесни настройката на WiFi на рутерa сведена до вкарването само на PIN обикновено написан на стикер в/у самия рутер. Преди няколко години специалистите откриха уязвимост в този протокол при някои модели рутери при определен фърмуер. Чрез него хакери успяваха да разбият защитата на рутера.. Така или иначе трудно може да се каже при кои рутери и при кой фърмуер съществува тази уязвимост, то най-добре изключете тази настройка. Чрез кабел може да влезете интерфейса на рутера и да настроте WiFi връзката да става през WPA2.
– Колкото по-малко услуги към интернет сте включили в рутера, толкова по-добре
Услуги като Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell), HNAP (Home Network Administration Protocol) и др. е хубаво да не се достигат през интернет, защото чрез тях лесно може да бъде пробита сигурноста на вашия рутер. Хубаво е да бъдат изключени във вашата вътрешна мрежа, ако не се ползват. Онлайн услуги като Shields Up могат да сканират вашето външно IP на рутера за отворени портове. Shields Up може да сканира и за UPnP отделно.
– Използвайте най-новите дефиниции на фърмуера на вашия рутер (т.е. апдейтвайте го редовно)
Някои рутери имат функцията за автоматичен апдейт, на други трябва ръчно да го правите през сайта на производителя.
Следващите препоръки са по-сложни за настройка и е хубаво да се правят от по-запознати с IT технологиите
– Чрез разделяне на мрежата (network segmentation) може да изолирате по-рисковите устройства.
Някои потребителски рутери имат включена опцията да създавате виртуална мрежа VLAN (virtual local area networks) вътре като част от по-голяма мрежа. Чрез нея може да изолирате IoT устройства, които са много слабо защитени откъм атаки. Много от тези устройства могат да бъдат управлявани от приложение на телефон, клауд услуга, така че след като първонаначално са настроени няма нужда да комуникират с вашия телефон директно през рутера, а е хубаво да бъдат отделени във такава виртуална мрежа, през която да свързани към интернет. Тези устройства използват слабо защитени протоколи, така че един хакер лесно може да достигне до управлението на такова устройство през заразен компютъра, ако и двете са в една и съща мрежа.
– Филтриране по MAC адрес на устройствата, които могат да се свържат към вашата мрежа.
Повечето рутери позвляват филтриране по MAC адрес на устройствата, които могат да се свържат към него. MAC адресът е уникален идентификационен код на физическата мрежова карта на устройството. Когато включите тази опция, то рутера не позволява на това устройство да се свърже към него, ако MAC адреса му не е зададен предварително в настройките на рутера дори паролата да е вярна. Това няма да позволи на хакери да се вържат към вашата мрежа дори да си ви разбили паролата. Това не е много удачно за големи мрежи, защото би изискало много работа да се вкарват MAC адресите в настройките на рутера на голям брой устройства. Но за малки или домашни мрежи е идеална защита.
– Пренасочването на портове трябва да става заедно с IP филтриране.
Чрез пренасочването на портове вие може да достъпвате до устройства във вашата вътрешна мрежа през интернет. Много програми ще се опитат да отворят портове чрез UPnP, което не винаги е сигурен начин. Ако сте изключили UPnP, a имате пренасочване на портове е хубаво да зададете ръчно от кои IP адреси може да достъпвате до вашите вътрешни устройства отвън. Ако искате да имате достъп до FTP сървъра на вашия домашен компютър от вашата работа, например, то трябва зададете във вашия рутер пренасочване на порта към port 21 и да вкарате IP адреса от вашето работно място, през който само може да влизате отвън.
– Персонализирания фърмуер може да бъде по-сигурен от фабричния фърмуер
Има доста отворени проекти базирани на Линукс, където се пише фърмуер за някои от по-широкоразпространените рутери като OpenWrt, DD Wrt, Asuswrt-Merlin (за Asus рутери само) и др. Фърмуерът от подобни сайтове има по-голяма възможнсот за пресонализиране и по принцип грешките и бъговете на различните версии по-бързо се оправят от тези на големите вендори. Лошото на тези сайтове е, че софтуера се пише от ентусиасти и опциите за фърмуер покрива малка част от рутерите, които са на пазара. Това от друга страна води до по-малък брой хакерски атаки към рутери с персонализиран софтуер, отколкото към такива с фабричен фърмуер. Все пак трябва да знаете, че качването на персонализиран фърмуер на вашия рутер изисква доста дълбоки знания, най-вероятно ще отпадне гаранцията и ако не е направен правилно, може да повреди вашето устройство. Предупредени сте! 🙂
По материали на PC World
От екип на „ЛИП Трейд“ ООД