13 июля 2021 3405

Что нужно знать о защите домашнего или офисного роутера

Роутер — это не просто ваше окно в интернет. Это ещё и первый рубеж обороны от внешних угроз, которые могут прийти из сети. Злоумышленники всё чаще пытаются взять этот самый рубеж. Судите сами: в 2019 году в мире происходило примерно 10 000 000атак на роутеры в месяц. В 2020 это количество выросло до 250 000 000. Налицо рост в 25 раз. И 2021 год не отстаёт. По данным исследований в мире насчитывается порядка 1.5 млрд активных роутеров. Получается, что почти каждый шестой из них подвергся атаке в прошлом году. Т.е. вероятность того, что вас тоже смогут атаковать таким способом, составляет 16%.

Чем обусловлен такой рост атак на роутеры? Тем, что бизнес и частные пользователи думают об их защите в последнюю очередь (или не думают об этом вообще). А зря. Взломав эту небольшую коробочку, злоумышленники получают контроль над вашим трафиком и, возможно, к подключенным к ней устройствам.

Мы в ESET проанализировали вероятные слабые места современных роутеров и способы их защиты. Делимся информацией с вами.

Правильно выбирайте роутер

При выборе роутера обратите внимание на наличие в нем следующих функций:

  • Сегментация. Эта функция позволяет делить группы устройств, подключенных к роутеру, на сегменты сети. По сути, вы дробите свою сеть на несколько подсетей, к которым подключаются разные устройства. Сегменты не имеют доступа друг к другу. А значит, например, при заражении вирусом устройства из одного сегмента, зловред не проникнет в другой. Или через какую-нибудь взломанную умную розетку злоумышленники не смогут получить доступ к IP-камерам ваших домашних устройств. Сегментировать можно по-разному. Чаще всего по отдельным группам распределяют домашние девайсы и элементы умного дома. Для гостей также лучше выделить отдельный сегмент.
  • Скрытие SSID сети. При включении этой функции ваша Wi-Fi-сеть не будет видна в списке доступных для подключения. Подключиться к ней можно будет только зная название (SSID) и введя его в поисковую строку. Это поможет уберечься от случаев, когда злоумышленники ищут доступные для подключения сети, подбирают к ним пароль, и после этого творят свои тёмные делишки: взлом подключенных к роутеру устройств, посещение запрещенных сайтов с вашего IP и так далее — вариантов масса.
  • VPN для серверной и клиентской частей. VPN — это не только про безопасность, но и про анонимность интернет-сёрфинга. Безопасность обеспечивается за счёт надёжного шифрования передаваемых данных. Анонимность — благодаря тому, что провайдер не видит истории сёрфинга, а целевые сайты не видят вашего реального IP-адреса.
  • Удалённое управление. Опция не только для контроля, но и для безопасности. Если вы подозреваете, что кто-то несанкционированно подключился к роутеру, его можно легко отключить, поменять пароль или другие настройки, находясь в любой точке мира. Это поможет быстро реагировать на возникающие угрозы.
  • Родительский контроль. Это поможет защитить вашего ребёнка от посещения нежелательных сайтов (особенно эффективно опция работает совместно с сегментированием), а домашнюю сеть — от угроз, которые ребёнок может «подцепить» в сети по незнанию, посещая сайты без разбора.
  • Сaptive-портал. Это сетевой сервис, который поможет с блокировкой пользователей, несанкционированно подключившихся к роутеру. Если в базе Captive portal нет MAC-адреса устройства, с которого совершаются попытки посетить тот или иной сайт через роутер или совершить какие-то другие действия, он перенаправляет такого пользователя на свою стартовую страницу для аутентификации.
  • Поддержка роуминга устройств в Mesh. Актуально для тех, кто использует дома или в офисе несколько маршрутизаторов (роутеров) и ретрансляторы. Это решение больше для улучшения качества интернета в больших помещениях. Но и в безопасность Mesh тоже вносит вклад. Современные протоколы, которые применяются для построения Mesh-сетей, используют шифрование трафика, циркулирующего в сети. А это — дополнительный уровень защиты.

Советы по настройке роутера

Конечно, рассмотренные выше must have элементы должны быть активированы и настроены. Также есть ещё несколько моментов, которые важны для безопасности роутера.

  • Брандмауэр и DNS-фильтры. Убедитесь в том, что эти элементы в роутере включены и работают. Благодаря им в реальном времени «рубится» реклама, спам, вирусные атаки.
  • Работа с элементами умного дома и другими устройствами. Обязательно смените стандартные пароли на всех устройствах, подключённых к вашей Wi-Fi сети. Это касается, в первую очередь элементов умного дома, но и про другие девайсы не забываем. Также следите за актуальностью прошивок на них. Периодически с помощью ПО роутера просматривайте, куда именно в интернете «стучатся» подключённые к сети устройства. Например, если умная лампочка или камера посещают не сервер производителя, а какие-то «левые» сайты, это не есть хорошо — это плохая лампочка или камера, с ними нужно разобраться.
  • Пароль на роутере. Сложность пароля на роутере можно сравнить со сложностью замка на вашей входной двери. Кстати, подбор пароля к роутеру — одна из самых частых атак, используемых злоумышленниками. И поверьте, подбирается он очень быстро. Например, сервис проверки пароля на стойкость говорит, что комбинация qwerty подбирается за 0 секунд.

Мы рекомендуем придерживаться при назначении следующих пунктов, которые обязательны для выполнения в совокупности:

  1. Длина 8-12 символов. Исследования показывают, если пароль составлен по всем канонам, делать его длиннее нет смысла.
  2. Одновременное использование символов как минимум из 4 наборов. Примеры наборов: a-z, A-Z, 0-9 и @#$%^&*()-_+=. Т.е. только буквы одного регистра или только цифры не подойдут.
  3. Пароли для разных сегментов сети должны максимально отличаться друг от друга. Разница в 1-2 символа не вариант.

Вот, кстати, полезная статья с советами по созданию безопасного пароля.

  • Проверка доступов. Настройте на роутере ограничение по количеству подключённых пользователей. При необходимости лимит всегда можно будет увеличить.

Обязательно проверьте все доступы по SSH, Telnet. Они позволяют подключаться к вашему роутеру удаленно через интернет и управлять им через командную строку. В любом роутере по умолчанию установлены заводские логин и пароль, которые злоумышленникам легко узнать (что-то вроде root/root или admin/admin). Обязательно поменяйте их через веб-интерфейс управления роутером (в зависимости от модели устройства и производителя это делается по разному: читайте инструкцию). А лучше вообще отключить доступы по SSH и Telnet (через тот же веб-интерфейс управления роутером), если вы не планируете управлять своим роутером удалённо через интернет.

  • Проверка устройств, подключенных к сети. Взломать вашу сеть могут не только снаружи, но и изнутри, через подключённое к ней заражённое устройство. Чтобы избежать таких ситуаций пользуйтесь антивирусными программами, регулярно обновляйте их базы и проводите сканирование устройств, которые используете.

«Железная оборона» роутера на случай нештатных ситуаций

Это больше не про информационную безопасность, а про обеспечение стабильного доступа к интернету в различных нештатных ситуациях. Быть всегда на связи помогут 2 фактора: источник бесперебойного питания для роутера и резервный интернет.

С ИБП все понятно — купил, подключил и пользуйся. Для подключения к резервному интернету нет необходимости покупать отдельный роутер. Многие современные модели поддерживают возможность подключения одновременно к нескольким провайдерам (2-3). При пропадании одного канала автоматически задействуется другой. Поможет в этом и технология WISP. Если роутер её поддерживает, вы можете подключиться к другой беспроводной сети (например, переведя смартфон в режим Wi-Fi-модема) и раздать её.

Видно, что безопасность роутера, а значит вашей Wi-Fi-сети и подключенных к ней устройств зависит от нескольких факторов. Реализовать её на самом деле не очень-то и сложно. Не забывайте про роутер, правильно выбирайте и настраивайте его, чтобы минимизировать вероятность заражения вирусами и попадания в другие неприятные ситуации. Комфортного и безопасного вам сёрфинга.

Комментарии

0
Оставьте комментарий!