Якщо єдиним способом отримати доступ до Інтернету є пряме підключення до маршрутизатора та кабельного модему вашого орендодавця, чи можливо вони можуть зламати ваш маршрутизатор і отримати доступ до вашої особистої мережі? Сьогоднішня публікація запитань SuperUser містить відповіді та кілька корисних порад для стурбованого читача.
Сьогоднішня сесія запитань і відповідей надійшла до нас люб’язно від SuperUser - підрозділу Stack Exchange, угруповання веб-сайтів із питань та відповідей на основі спільноти.
Фото надано Набір (Flickr) .
Питання
Читач SuperUser newperson1 хоче знати, чи можливо, що його орендодавець може отримати доступ до його особистої мережі:
Чи може мій орендодавець отримати доступ до речей у мережі мого персонального маршрутизатора, оскільки він контролює вихідне з'єднання? Наприклад, DLNA на моєму NAS, загальнодоступний файл спільного доступу на моєму NAS або мультимедійний сервер, що працює на моєму ноутбуці?
Ось моя конфігурація: у мене є власний маршрутизатор, і до нього підключені NAS (дротовий) та ноутбук (бездротовий). Порт Інтернету / WAN на моєму маршрутизаторі підключений до порту LAN на маршрутизаторі мого орендодавця. Порт Інтернет / WAN на маршрутизаторі мого орендодавця надходить до кабельного модему. Я єдиний, хто має доступ і пароль до свого маршрутизатора. У мене немає доступу або пароля до маршрутизатора мого орендодавця або кабельного модему.
Чи можливо, що орендодавець newperson1 може отримати доступ до своєї особистої мережі?
Відповідь
Співробітники SuperUser Techie007 та Marky Mark мають відповідь за нас. Спочатку, Techie007:
Ні, ваш маршрутизатор повинен блокувати вхідний доступ до вашої локальної мережі, як це було б, якби він був підключений безпосередньо до Інтернету. Він, можливо, зможе нюхати ваш Інтернет-трафік (оскільки він знаходиться між вами та Інтернетом).
Ви можете прочитати ці інші запитання SuperUser для отримання додаткової інформації:
Наступна відповідь від Марки Марка:
Інші відповіді в основному правильні, але я думав, що розширю тему. Сподіваємось, ця інформація буде корисною.
Поки у вас є маршрутизатор у стандартній конфігурації, він повинен блокувати небажані спроби вхідного підключення до мережі, по суті діючи як тупий брандмауер.
Переадресація портів
Параметри, що збільшують поверхню експозиції, будуть переадресацією будь-яких портів у вашу локальну мережу (пристрої, підключені до маршрутизатора).
Майте на увазі, що деякі служби у вашій мережі можуть відкривати порти через UPnP (Universal Plug and Play), тому, якщо ви хочете бути впевнені, що ніхто не переглядає вашу мережу, розгляньте можливість вимкнення UPnP у налаштуваннях вашого маршрутизатора. Майте на увазі, що це заважатиме будь-кому підключатися до послуги у вашій мережі, наприклад, до проведення відеоігор.
І в
Якщо ваш маршрутизатор має Wi-Fi, розгляньте можливість того, що хтось потенційно може підключитися до нього. Той, хто підключається до вашої служби Wi-Fi, по суті, знаходиться у вашій локальній мережі і може бачити все.
Отже, якщо ви використовуєте Wi-Fi, переконайтеся, що використовуєте максимальні налаштування безпеки. Як мінімум, встановіть тип мережі на WPA2-AES, вимкніть застарілу підтримку, встановіть клавіші для скидання мінімум раз на 24 години та виберіть складний пароль Wi-Fi.
Нюхання протоколів та VPN
Коли ваш орендодавець сидить між вами та загальнодоступним Інтернетом, він потенційно може переглядати весь трафік, що надходить і виходить з вашого маршрутизатора. Зробити це відносно просто, і для цього існують вільно доступні засоби діагностики мережі.
Зашифрований трафік між вашим браузером та веб-сайтом, як правило, безпечний наскільки це стосується вмісту, однак ваш орендодавець зможе бачити, які веб-сайти ви відвідуєте (хоча і не обов'язково конкретні сторінки).
Однак, враховуйте, що багато веб-сторінок не зашифровані, і тоді є всі ваші мобільні програми, електронна пошта та інші дії в Інтернеті, які потенційно надсилаються у відкритому доступі.
Якщо ви хочете, щоб УСІ ваш трафік був зашифрований, вам потрібно використовувати зашифровану віртуальну приватну мережу (VPN). VPN підключає вашу мережу до мережі оператора VPN (як правило, комерційного підприємства) за допомогою зашифрованого тунелювання протоколів.
В ідеалі VPN шифруватиметься за допомогою шифрування AES, а зв’язок встановлюватиметься на рівні маршрутизатора, щоб весь трафік WAN (до Інтернету) шифрувався та маршрутизувався через VPN.
Якщо маршрутизатор не підтримує VPN, вам потрібно буде налаштувати його на кожному пристрої (комп’ютері, телефоні, планшеті, консолі тощо) для трафіку, який ви хочете захистити.
Шифрування
Як загальний принцип безпеки, я виступаю за рівномірне шифрування всього трафіку. Якщо все сильно зашифровано, той, хто підглядає за вами, не знатиме, з чого почати. Але якщо ви зашифруєте лише “важливі речі”, вони точно знатимуть, куди атакувати.
Є що додати до пояснення? Звук у коментарях. Хочете прочитати більше відповідей від інших досвідчених користувачів Stack Exchange? Ознайомтесь із повним обговоренням тут .
