Двойная защита / Зачем нужен свой роутер, если есть провайдерский и как защитить DNS запросы

Зачем нужен свой роутер, если есть провайдерский / Дзен.Уловка-32 / Изображение из ОИИ

Мы все привыкли к тому, что интернет в доме обеспечивается роутером, который любезно предоставляет провайдер. Кажется, что этого вполне достаточно. Зачем тратиться на еще одно устройство, когда все и так работает?

Но на самом деле, установка собственного маршрутизатора в дополнение к провайдерскому может стать важным шагом к созданию более безопасной и стабильной домашней сети. Более того, даже если у вас уже есть свой роутер, не стоит забывать о защите DNS-запросов, ведь именно они могут стать уязвимым местом.

Давайте разберемся, почему это так, как правильно настроить оба устройства и как защитить свои DNS-запросы.

Роутер провайдера – всего лишь «модем»

Представьте себе такую аналогию: роутер от вашего провайдера – это своего рода «модем», который обеспечивает подключение к глобальной сети. Он выполняет базовую функцию – предоставляет вам доступ в интернет.

А вот ваш собственный роутер – это уже «защитник», который обрабатывает весь трафик и оберегает вашу домашнюю сеть от нежелательных вторжений. Это похоже на крепостную стену: основная – от провайдера, но вот вторая, ваша личная, делает оборону куда надежнее.

Преимущества личного маршрутизатора

В чем же конкретно преимущества использования собственного роутера? Вот несколько ключевых моментов:

• Полный контроль: Вы получаете полный контроль над настройками вашей сети. Это означает, что вы можете самостоятельно устанавливать надежные пароли, обновлять прошивку, настраивать брандмауэр и другие важные параметры. У провайдерского роутера такой гибкости нет.
• Безопасность: Роутеры, которые предоставляют провайдеры, часто имеют «дефолтные» заводские настройки. Слабая зашита делает их легкой мишенью для хакеров. Ваш собственный роутер позволит вам самостоятельно настроить защиту.
• Стабильность: Собственные роутеры часто обладают более мощными характеристиками и более широкими возможностями по управлению сетью, что может положительно сказаться на стабильности и скорости вашего интернет-соединения.

И самое главное:

• У провайдера всегда есть доступ к своему оборудованию извне, какой пароль бы вы не устанавливали. При грамотной настройке собственного роутера доступ к нему будет только у вас, а значит ваша домашняя сеть под надежной защитой.

Настраиваем два роутера правильно

Конечно, просто подключить два роутера одновременно – недостаточно. Важно правильно настроить их, чтобы избежать конфликтов и проблем с производительностью. Вот несколько ключевых шагов:

1. Переводим провайдерский роутер в режим «моста»: Для начала, нужно отключить функции маршрутизации на роутере от провайдера и перевести его в режим "моста" (Bridge mode). В этом режиме он будет просто передавать интернет-сигнал вашему личному маршрутизатору. Если нет такого режима, то выключите DHCP.
2. Настраиваем свой роутер: Подключаем ваш собственный роутер к провайдерскому через кабель Ethernet (можно и по Wi-Fi) и заходим в его настройки. Обычно это можно сделать, набрав в браузере 192.168.1.1 или 192.168.0.1.
3. Настраиваем IP-адреса: Важно, чтобы у обоих роутеров были разные IP-адреса. Задайте вашему личному роутеру, например, адрес 192.168.2.1.
4. Настраиваем Wi-Fi: Задайте имя вашей беспроводной сети (SSID) и надежный пароль.
5. Настраиваем брандмауэр: Включите брандмауэр на вашем роутере и задайте необходимые правила для защиты от несанкционированного доступа.
6. Проверяем работу: После всех настроек проверьте, чтобы интернет работал корректно на всех устройствах, подключенных к вашей сети.

Защищаем DNS-запросы: скрываем следы от провайдера

DNS (Domain Name System) – это как телефонная книга интернета, которая переводит понятные нам имена сайтов (например, google.com) в IP-адреса, понятные компьютерам. Обычно DNS-запросы передаются в открытом виде, что позволяет провайдеру и злоумышленникам отслеживать посещаемые вами сайты. Чтобы это исправить, нужно использовать шифрование DNS-запросов.

Как работает шифрование DNS?

Для защиты DNS-трафика используют протоколы DNS over TLS (DoT) и DNS over HTTPS (DoH). Они шифруют DNS-запросы, предотвращая их перехват и обеспечивая конфиденциальность.

• DNS over TLS (DoT): Использует протокол TLS для шифрования DNS-запросов, обычно работает через порт 853.
• DNS over HTTPS (DoH): Инкапсулирует DNS-запросы в HTTPS-трафик, который также шифруется, и работает через порт 443. Этот же порт используется для безопасного веб-соединения, что делает этот трафик похожим на обычный HTTPS.

Как настроить шифрование DNS?

Есть несколько способов настроить шифрование DNS-запросов:

1. Настройка в операционной системе:Windows: Начиная с Windows 11, поддержка DoH встроена в операционную систему. Чтобы ее включить, нужно перейти в Параметры > Сеть и Интернет > Ethernet (или Wi-Fi), нажать Изменить, указать IP-адрес DNS-сервера и выбрать "Включено (автоматический шаблон)" для параметра "DNS over HTTPS".
   Android: В Android (версия 9 и выше) можно включить безопасный DNS в настройках сети.
   
2. Настройка в роутере: Многие современные роутеры, например, Keenetic, TP-Link, также поддерживают протоколы DoT и DoH. Для этого нужно зайти в веб-интерфейс роутера, найти настройки DNS и включить использование одного из этих протоколов. У Keenetic есть опция игнорирования DNS-серверов провайдера. Для роутеров TP-Link нужно выбрать пункт "Использовать следующие адреса DNS-серверов" и указать предпочтительный DNS-сервер.

Публичные DNS-серверы с поддержкой DoH/DoT

Существует множество публичных DNS-серверов, поддерживающих шифрование DNS-запросов. Вот несколько из них:

• Cloudflare: 1.1.1.1, 1.0.0.1
• Google: 8.8.8.8, 8.8.4.4
• Quad9: 9.9.9.9, 149.112.112.112

Как убедиться, что шифрование работает?

В Windows для проверки можно использовать утилиту PktMon.exe. Эта утилита покажет, что трафика по стандартному DNS порту 53 нет, а запросы отправляются по защищенному HTTPS порту 443.

Как проверить шифрование DNS с помощью PktMon.exe, следуйте этим шагам:

1. Откройте Командную строку или PowerShell от имени администратора: Нажмите клавишу Windows + X и выберите «Командная строка (администратор)» или «Windows PowerShell (администратор)», в зависимости от версии Windows.
2. Удалите все текущие фильтры PktMon:
   pktmon filter remove
3. Добавьте фильтр для классического DNS порта 53:
   pktmon filter add -p 53
4. Начните мониторинг трафика в реальном времени:
   pktmon start --etw -m real-time
5. Проверьте вывод консоли: Если вы правильно настроили DNS over HTTPS, то трафик по порту 53 должен отсутствовать, что означает, что все DNS-запросы отправляются через зашифрованное HTTPS-соединение.

Если вы видите трафик на порту 53, это может означать, что ваше устройство не использует только зашифрованные соединения для разрешения имен.

Как это поможет скрыть запросы от провайдера?

Шифрование DNS-запросов не позволит вашему провайдеру отслеживать, какие сайты вы посещаете. Ваш провайдер увидит лишь, что вы обращаетесь к DNS-серверу, но не сможет узнать, какие именно сайты вы запрашиваете.

В заключение

Стоит понимать, что безопасность вашей сети – это не что-то, о чем можно забыть после первой настройки. Регулярно обновляйте прошивку своего роутера, проверяйте настройки брандмауэра, следите за новостями о новых угрозах и принимайте необходимые меры. Это поможет вам защитить свои личные данные и сохранить спокойствие.

Установка собственного роутера в дополнение к провайдерскому – это инвестиция в безопасность и стабильность вашей домашней сети. Это дает вам больше контроля и гибкости в настройках и позволяет защитить ваши личные данные от несанкционированного доступа. Более того, настройка шифрования DNS запросов, поможет скрыть вашу историю посещений от провайдера.

————————————