Советы от Киберполиции Украины: Как защитить домашнюю Wi-Fi сеть от злоумышленников?

Советы от Киберполиции Украины: Как защитить домашнюю Wi-Fi сеть от злоумышленников?

Если вы не знаете, чем занять себя долгими осенними вечерами, то можете потратить немного времени на то, чтобы убедиться в безопасности собственной домашней Wi-Fi сети. Подготовленный Департаментом киберполиции Украины набор рекомендаций может показаться чересчур очевидным для продвинутых пользователей, однако даже им не помешает пробежаться по пунктам и убедиться, что они не забыли включить все нужные опции. А вот тем, кому роутер настроил спешащий мастер провайдера, эти советы стоит прочитать в обязательном порядке.

На сегодняшний день подавляющее большинство пользователей домашних сетей использует Wi-Fi роутеры для доступа к Интернет, однако не менее часто Wi-Fi роутеры используются злоумышленниками для совершения мошеннических действий. Так каким же образом обезопасить свой домашний роутер от несанкционированного вмешательства?

Что злоумышленник может осуществить находясь в вашей Wi-Fi сети?

1) Изменить настройки DNS-сервера. Любое доменное имя, например google.com.ua, соответствует индивидуальному IP-адресу. Сайт google.com.ua соответствует IP-адресу 74.125.232.255, и если ввести в браузере вместо имени сайта google.com.ua IP-адрес 74.125.232.255, то благодаря DNS-серверу будет осуществлен переход на сайт google.com.ua.

Злоумышленник может изменить DNS-сервер на свой собственный и настроить, например, чтобы браузер при введении сайта google.com.ua переходил на его личный IP-адрес, в результате чего будет осуществлен перехват веб-трафика или заражение вашего личного ПК, или любого устройства, которое получает доступ к глобальной сети Интернет с вашего роутера или точки доступа.

2) Следующее, что может осуществить злоумышленник — это перехват вашей личной информации путем атаки «атака посредника» или «человек посередине» (man-in-the-middle, MitM). С помощью такой атаки весь веб-трафик, которым по умолчанию отправляется к Wi-Fi роутеру, будет отправлен сначала хакеру, а затем от хакера к роутеру, таким образом, что Wi-Fi роутер не заметит изменений. Такая атака позволяет хакеру украсть ваши личные данные (логины, пароли), просмотреть ваш веб-трафик (сайты на которые вы заходили) и т.д.

3) Следует отметить, что находясь в вашей личной Wi-Fi сети хакер может осуществлять хакерские атаки (взломы сайтов, DDOS-атаки, добавлять ваши устройства к бот-сетям, скачивать детскую порнографию и т.д.) и другие незаконные действия от вашего имени, поскольку Wi-Fi роутер имеет IP-адрес, который вам предоставил ваш провайдер при уплате Интернет услуг. Также по вашему IP-адресу будут идентифицироваться все устройства (смартфоны, планшеты, ноутбуки и т.д.), подключенные к вашему роутеру или точке доступа в сети Интернет.

Департамент киберполиции советует:

1) Скрывать название Wi-Fi сети.

Название сети или SSID (Service Set Identifier) — это имя, которое видят все окружающие при поиске сети. Зная это название можно подключиться к той или иной Wi-Fi сети. По умолчанию роутеры и точки доступа показывают название сети всем желающим. Название можно отключить в разделе «настройки беспроводных сетей» (Wireless Settings) вашего роутера или точки доступа. В данном разделе есть опция «включить SSID» (Enable SSID) или «отключить SSID» (Disable SSID).

2) Включать шифрование.

Данная настройка также находится в разделе «настройки беспроводных сетей» (Wireless Settings) и называется «тип шифрования» (Encryption settings). В зависимости от типа роутера или точки доступа обычно там присутствует примерно 5 вариантов на выбор.

WEP (WIRED EQUIVALENT PRIVACY) — слабейший тип шифрования. К роутеру или точке доступа с таким типом шифрования злоумышленник может получить доступ за 15 минут — 24 часов, в зависимости от активности сети. Не рекомендуется к использованию вообще. WPS/QSS WPS, он же QSS, позволяет клиенту подключиться к точке доступа с помощью 8-символьного кода, состоящего из цифр. В декабре 2011 Стефан Фибёк (англ. Stefan Viehböck) и Крейг Хеффнер (англ. Craig Heffner) рассказали о серьезных дырах в протоколе WPS. Оказалось, что если в точке доступа активирован WPS c PIN (который по умолчанию включен в большинстве роутеров), то подобрать PIN-код для подключения можно за считанные часы. Департамент киберполиции рекомендует отключить данную опцию.

WPA и WPA2 (WI-FI PROTECTED ACCESS) поддерживают два различных режима начальной аутентификации (проверка пароля доступа клиента к сети) — PSK и Enterprise. WPA-PSK и WPA2-PSK- это самые распространенные на сегодняшний день варианты шифрования для домашних Wi-Fi сетей. Подключение к сети осуществляется по единому паролю, который вводится на устройстве при подключении, разница в типе шифрования, WPA-PSK — тип шифрования TKIP, WPA2-PSK — AES (усиленный тип шифрования). WPA Enterprise отличается от WPA-PSK тем, что для использования необходимо настроить сервер — RADIUS (Remote Authentication Dial In User Service). По сути сервер RADIUS — это служба удаленной аутентификации пользователей, которая проверяет учетные данные пользователя для доступа к сети.

3) Фильтровать MAC-адреса.

Еще один способ защитить собственную домашнюю Wi-Fi сеть — это фильтрация устройств по MAC-адресу. MAC-адрес — это уникальный номер (типа серийного номера) сетевой Ethernet или Wi-Fi карты. В настройки роутера или точки доступа необходимо добавить MAC-адреса тех устройств, которые будут подключаться к вашему роутеру или точке доступа. Пользователи с MAC-адресами отличными от тех, которые указаны в настройках, не будут соединены с роутером или точкой доступа, даже при правильном введении пароля доступа.

В распространенных моделях роутеров данная функция называется «фильтрация MAC-адресов» (MAC Filtering). В операционных системах Windows MAC-адрес можно посмотреть с помощью комбинации клавиш Windows + R и введения команды cmd, в результате чего откроется командная строка Windows, в дальнейшем необходимо ввести ipconfig/all, дальше ищем строку беспроводное сетевое соединение (wireless network connection) и копируем значение физический адрес (physical address) — это и есть MAC-адрес. В системах типа Unix необходимо ввести команду ifconfig.

4) Отключать доступ к администрированию роутера или точки доступа из глобальной сети Интернет.

Чаще всего Wi-Fi роутеры поддерживают функцию удаленного администрирования через интернет. Однако для большинства пользователей нет необходимости в удаленной настройке Wi-Fi. Оставив эту функцию вы создаете дополнительную точку входа, которой может воспользоваться злоумышленник, чтобы получить доступ к вашей Wi-Fi сети.

Департамент киберполиции Украины советует при настройке вашей личной Wi-Fi сети не использовать настройки по умолчанию и пользоваться этой инструкцией.

Источник: Департамент киберполиции Украины