Применив ряд рекомендаций из данной статьи Вы сможете максимально снизить возможность взлома вашего роутера и возможность утечки Ваших личных данных.
Итак, зачем вообще нужно обеспечивать защиту роутера?
Крайне важно использовать защищенные устройства маршрутизации или роутеры. С помощью этих устройств происходит обмен пакетами между устройствами сети и провайдера на основе правил и таблиц маршрутизации. Получая доступ к роутеру можно получить различную личную информацию, которая может быть использована в разных целях. Например, это может быть информация об устройствах, посещаемых Вами сайтах, настройках и т.д.
В этой статье в качестве примера использовался роутер фирмы TP-LINK. В зависимости от фирмы и модели панель администрирования может отличатся, но принципы настройки одинаковы для всех производителей. Настройка в любом случае не займет много времени.
Как можно получить доступ к роутеру?
Злоумышленники используют автоматические сканеры по определенным сетям. Сканеры устройств маршрутизации проводят сканирование по портам, которые традиционно занимают роутеры. Происходит сканирование на нахождения стандартных портов с определенными данными для входа. Если ваш роутер имеет стандартные настройки, то очень большая вероятность, что злоумышленник сможет получить доступ к вашим данным.
На примере одной из программ для сканирования за 45 минут работы было найдено 73 роутера . Если учитывать, что в среднем роутер используют 3-4 устройства, то это достаточно большое количество пользователей.
Как максимально снизить шансы взлома?
1) Изменение стандартного IP-адреса для локального управления роутером
Как правило стандартными адресами являются:
http://192.168.0.1/
http://192.168.1.1/
И для входа в панель администрирования используется логин и пароль admin/admin.
Собственно, первое что необходимо сделать, это изменить адрес размещения панели администрирования, логин и пароль. Это позволит защитить нас от средств массового сканирования, например, Router Scan.
2) Ограничение списка компьютеров для локального управления
Следующим шагом необходимо запретить доступ к средствам администрирования из вне. Для нашего роутера необходимо зайти в раздел «Безопасность-Локальное управление». В нашем случае можно указать MAC адреса компьютеров, которые будут иметь доступ к админ панели. Этот способ можно применять для открытых сетей с большим количеством участников.
3) Фильтрация MAC-адресов
Создание фильтрации позволяет добавить в список устройства только доверенных пользователей. Это можно обойти, но это дополнительный барьер, который может остановить школьников-взломщиков.
Роутеры TP-Link позволяют создать список желательных и нежелательных устройств для сети. Этот способ имеет преимущества с большими сетями.
При настройке фильтрации необходимо изменить порт, который может использоваться для удаленного управления. Это действие позволит защититься от автоматический сканеров, которые сканируют адреса на порты 80 и 8080. Это стандартные значения роутеров. Программы автоматического сканирования не будут проверять все значения от в пределе от 1 до 65534. Поэтому, если вы используете удаленное управление, лучше изменить стандартные порты. Безусловно, взломщик может отдельным софтом просканировать все порты на средства маршрутизации, но это займет намного больше времени.
Для достижения максимальной защиты удаленное управление желательно отключить. Чтобы сделать это на роутерах фирмы TP-LINK достаточно указать IP адрес 0.0.0.0.
4) Отключение DHCP сервера
Протокол DHCP применяется для автоматического назначения IP-адреса, шлюза по умолчанию, DNS-сервера и т.д. В качестве транспорта данный протокол использует UDP, а это значит, что мы можем без особых проблем подменять все интересующие нас поля в сетевом пакете, начиная с канального уровня: MAC-адрес источника, IP-адрес источника, порты источника — то есть все, что нам хочется. Поэтому, чтобы избавить себя от разного рода атак лучше отключить DHCP на роутере.
5) Привязка MAC адреса и IP
Привязать можно в меню «IP & MAC Binding» (Привязка IP и МАС). Связывание по протоколу ARP является удобной функцией для контроля доступа компьютеров, находящихся в локальной сети. Список устройств можно посмотреть в ARP таблице.
6) Скрыть SSID
Как правило, почти все WiFi сети имеют свое название. Это название и является SSID (Service Set Identifier). Это имя можно увидеть, сканируя сети вокруг. По умолчанию роутеры показывают имя всем желающим. Если скрыть SSID можно снизить количество разных атак, которые будут осуществляться на вашу сеть. Так как для осущетвления атаки необходимо знать SSID атакуемого роутера.
7) Отключить WPS подключение
Wi-Fi Protected Setup(WPS) - это технология аппаратного подключения к сети, которая работает по упрощенному принципу подключения к сети WiFi. Она имеет достаточно много уязвимостей, поэтому лучше отказаться от ее использования.
8) Мониторинг сетей (на примере программы AirSnare)
AirSnare позволяет контролировать все устройства сети. Если появляется новое устройство, то средство может отправлять сообщение на почту, записывать лог в журнал или отображать эту информацию в интерфейсе программы. Дополнительно программа умеет отправлять сообщение подключенному устройство с меткой, что за ним ведется детальное наблюдение.
Заключение
По итогу выполнения представленных выше рекомендаций мы смогли максимально обезопасить свой роутер. Конечно, не стоит забывать о том, что все маршрутизаторы и роутеры имеют кнопку сброса настроек в заводское состояние. Поэтому, лучше размещать роутер в месте, где нет физического доступа других пользователей. А так же если вы сами скачаете и запустите файл с эксплоитом у себя на компьютере, то все меры по защите роутера будут напрасны. Так как вы собственноручно предоставите злоумышленнику доступ ко всем вашим данным. Поэтому, стоит не забывать внимательно проверять файлы, которые вы скачиваете и открываете.
В дополнение рекомендую почитать следующие статьи:
1) Минимальная безопасность в сети;
