Нещодавно дослідник безпеки виявив бэкдор у багатьох маршрутизаторах D-Link, що дозволило кожному отримати доступ до маршрутизатора, не знаючи імені користувача та пароля. Це не перша проблема безпеки маршрутизатора і не остання.
Щоб захистити себе, слід переконатися, що ваш маршрутизатор налаштований надійно. Це стосується не просто включення шифрування Wi-Fi та не хостинг відкритої мережі Wi-Fi .
Вимкніть віддалений доступ
Маршрутизатори пропонують веб-інтерфейс, що дозволяє налаштувати їх через браузер. Маршрутизатор запускає веб-сервер і робить цю веб-сторінку доступною, коли ви перебуваєте в локальній мережі маршрутизатора.
Однак більшість маршрутизаторів пропонують функцію "віддаленого доступу", яка дозволяє отримати доступ до цього веб-інтерфейсу з будь-якої точки світу. Навіть якщо ви встановите ім’я користувача та пароль, якщо у вас є маршрутизатор D-Link, який зазнає впливу цієї вразливості, кожен зможе увійти в систему без будь-яких облікових даних. Якщо у вас вимкнений віддалений доступ, ви будете в безпеці від людей, які віддалено отримують доступ до вашого маршрутизатора та втручаються в нього.
Для цього відкрийте веб-інтерфейс маршрутизатора та знайдіть функцію «Віддалений доступ», «Віддалене адміністрування» або «Віддалене управління». Переконайтеся, що його вимкнено - він повинен бути вимкнений за замовчуванням на більшості маршрутизаторів, але це добре перевірити.
Оновіть прошивку
Як і наші операційні системи, веб-браузери та будь-яке інше програмне забезпечення, яке ми використовуємо, програмне забезпечення маршрутизатора не є ідеальним. Прошивка маршрутизатора - по суті програмне забезпечення, що працює на маршрутизаторі - може мати недоліки безпеки. Виробники маршрутизаторів можуть випускати оновлення мікропрограми, які виправляють такі прорізи в безпеці, хоча вони швидко припиняють підтримку більшості маршрутизаторів і переходять до наступних моделей.
На жаль, більшість маршрутизаторів не мають функції автоматичного оновлення, як Windows та наші веб-браузери - вам потрібно перевірити веб-сайт виробника маршрутизатора на наявність оновлення мікропрограми та встановити його вручну через веб-інтерфейс маршрутизатора. Переконайтеся, що на вашому маршрутизаторі встановлено останню доступну прошивку.
Змінити облікові дані за замовчуванням
Багато маршрутизаторів мають облікові дані за замовчуванням, які є досить очевидними, наприклад, пароль "адміністратор". Якби хтось отримав доступ до веб-інтерфейсу вашого маршрутизатора через якусь уразливість або просто увійшовши у вашу мережу Wi-Fi, було б легко увійти в систему та втрутитися в налаштування маршрутизатора.
Щоб цього уникнути, змініть пароль маршрутизатора на пароль не за замовчуванням, який зловмисник не міг легко вгадати. Деякі маршрутизатори навіть дозволяють змінити ім’я користувача, яке ви використовуєте для входу у свій маршрутизатор.
Заблокуйте доступ до Wi-Fi
ПОВ'ЯЗАНІ: Не майте хибного відчуття безпеки: 5 небезпечних способів захистити свій Wi-Fi
Якщо хтось отримає доступ до вашої мережі Wi-Fi, він може спробувати втрутитися у ваш маршрутизатор - або просто зробити щось погане, наприклад, підглядати ваші локальні спільні файли, або використовувати ваше з’єднання для завантаження вмісту, захищеного авторським правом, і створювати вам проблеми. Запуск відкритої мережі Wi-Fi може бути небезпечним.
Щоб цього не сталося, переконайтеся, що Wi-Fi маршрутизатора захищений. Це досить просто: встановіть для використання шифрування WPA2 та використовуйте досить безпечну парольну фразу. Не робіть використовуйте слабше WEP-шифрування або встановіть очевидну парольну фразу, наприклад „пароль .
Вимкніть UPnP
ПОВ'ЯЗАНІ: Чи є UPnP ризиком для безпеки?
Різні недоліки UPnP були виявлені в споживчих маршрутизаторах. Десятки мільйонів споживчих маршрутизаторів відповідають на запити UPnP з Інтернету, дозволяючи зловмисникам в Інтернеті віддалено налаштувати ваш маршрутизатор. Аплети Flash у вашому браузері можуть використовувати UPnP для відкриття портів, роблячи ваш комп'ютер більш вразливим. UPnP досить небезпечний з різних причин.
Щоб уникнути проблем на основі UPnP, вимкніть UPnP на маршрутизаторі через веб-інтерфейс. Якщо ви використовуєте програмне забезпечення, яке потребує переадресованих портів - наприклад, клієнт BitTorrent, ігровий сервер або програма зв’язку - Вам доведеться переадресувати порти на маршрутизаторі не покладаючись на UPnP.
Завершивши налаштування, вийдіть з веб-інтерфейсу маршрутизатора
У деяких маршрутизаторах були виявлені недоліки міжсайтових сценаріїв (XSS). Маршрутизатором із таким недоліком XSS може керувати шкідлива веб-сторінка, що дозволяє веб-сторінці налаштовувати параметри, поки ви ввійшли в систему. Якщо ваш маршрутизатор використовує ім’я користувача та пароль за замовчуванням, шкідливій веб-сторінці було б легко отримати доступ.
Навіть якби ви змінили пароль маршрутизатора, веб-сайт теоретично міг би використовувати сеанс, на який ви увійшли, для доступу до маршрутизатора та модифікації його налаштувань.
Щоб цього не сталося, просто вийдіть із маршрутизатора, коли закінчите налаштовувати його - якщо ви не можете цього зробити, можливо, ви захочете очистити файли cookie веб-переглядача. Це не те, щоб бути занадто параноїчним, але вийти з маршрутизатора, коли закінчите користуватися ним, зробити це швидко і легко.
Змініть локальну IP-адресу маршрутизатора
Якщо ви справді параноїки, можливо, ви зможете змінити локальну IP-адресу маршрутизатора. Наприклад, якщо адресою за замовчуванням є 192.168.0.1, ви можете змінити її на 192.168.0.150. Якби сам маршрутизатор був уразливим і якийсь шкідливий скрипт у вашому веб-браузері намагався використати уразливість сценаріїв між сайтами, отримуючи доступ до відомих вразливих маршрутизаторів за їхньою локальною IP-адресою та підробляючи їх, атака не вдалася б.
Цей крок не є повністю необхідним, тим більше, що він не захистить від локальних зловмисників - якщо хтось буде у вашій мережі або на вашому ПК працює програмне забезпечення, він зможе визначити IP-адресу вашого маршрутизатора та підключитися до нього.
Встановіть сторонні прошивки
Якщо ви дійсно турбуєтесь про безпеку, ви можете також встановити сторонні прошивки як от DD-WRT або OpenWRT . Ви не знайдете незрозумілих задніх дверей, доданих виробником маршрутизатора в цих альтернативних прошивках.
Споживчі маршрутизатори формуються як ідеальна буря проблем із безпекою - вони не оновлюються автоматично новими виправленнями безпеки, вони підключаються безпосередньо до Інтернету, виробники швидко припиняють їх підтримку, і багато споживчих маршрутизаторів, здається, переповнені код, який призводить до експлойтів UPnP та легких у використанні бекдорів. Розумно вжити деяких основних запобіжних заходів.
Кредит зображення: Nuscreen на Flickr
