А знаете ли вы, что подавляющее большинство Wi-Fi роутеров потенциально уязвимы? Их могут взломать как те, кто находятся в радиусе действия сети, так и удаленно. В этой статье мы рассмотрим несколько важных способов защиты домашнего Wi-Fi маршрутизатора.
Ограничение доступа к администраторскому разделу
Типовые комбинации логина и пароля, вроде admin/admin, идентичны для миллионов аппаратов и присутствуют в общедоступных базах. Пароль для входа в панель управления должен содержать минимум 12 знаков, сочетая строчные и прописные буквы, цифры и служебные символы. Те же критерии применимы к ключу беспроводной сети — длинная бессвязная последовательность, исключающая личные идентификаторы: адрес проживания, фамилию, значимые даты.
Идентификатор сети также подлежит изменению, поскольку стандартное имя нередко прямо указывает на производителя и модель оборудования, облегчая подбор, например из-за устаревшей прошивки, в которой уже есть уязвимости.
Защитные протоколы
Протоколы WEP и WPA-TKIP не оказывают злоумышленнику практически никакого сопротивления — их компрометация выполняется за несколько минут специальными программными средствами. Безусловным минимумом на сегодняшний день остается WPA2-PSK с алгоритмом AES. При условии совместимости маршрутизатора и всех клиентских устройств предпочтение отдается WPA3-Personal, в архитектуру которого заложены механизмы, которые исключают популярные атаки на этапе установления соединения.
Отдельного рассмотрения заслуживают сервисные функции, призванные упрощать подключение, но превратившиеся в один из ключевых каналов несанкционированного проникновения. Режим Wi-Fi Protected Setup (WPS) с восьмиразрядным PIN-кодом уязвим к перебору, занимающему от нескольких часов. Полное отключение WPS в настройках устраняет эту уязвимость.
Серьезную опасность представляет также протокол Universal Plug and Play, автоматически открывающий порты на маршрутизаторе по запросу программ внутри сети, фактически в обход штатного межсетевого экрана. При отсутствии специфического софта, нуждающегося в перенаправлении портов, UPnP необходимо отключить в настройках маршрутизатора.
Отключение удаленного администрирования и обновление прошивки
Удаленное администрирование роутера — если не нужно, то лучше отключить. Управление роутером должно быть разрешено исключительно из локального сегмента.
Обязательно нужно следить за обновлением прошивки роутера — современные модели умеют это делать самостоятельно, но на устаревших роутерах процесс обновления нужно делать вручную. Производители постоянно улучшают ПО роутера и устраняют эксплойты и ошибки.
Подключайте только знакомые устройства
Устройства интернета вещей (умный дом) — IP-камеры, сенсоры, интеллектуальные колонки и прочие часто подвержены взломам. Выделенная гостевая сеть с отдельным паролем и активированной изоляцией клиентов, при которой оконечные узлы лишены возможности прямого обмена данными, сводит данную угрозу к минимуму.
Фильтрация по MAC-адресам — также является одним из важных этапов защиты Wi-Fi роутера. Вы прописываете только те MAC-адреса, которые соответствуют подключенным устройствам — другие девайсы не смогут получить доступ к сети через ваш маршрутизатор.
Также не забываем периодически проверять список подключенных клиентов — а вдруг кто-то взломал роутер и уже пользуется вашим интернетом и локальной сетью?
А какие способы защиты используете вы?
Чтобы быть в курсе важных ИТ-новостей, подписывайтесь на мой канал в мессенджере MAX.