Если вы не знаете, чем занять себя долгими осенними вечерами, то можете потратить немного времени на то, чтобы убедиться в безопасности собственной домашней Wi-Fi сети. Подготовленный Департаментом киберполиции Украины набор рекомендаций может показаться чересчур очевидным для продвинутых пользователей, однако даже им не помешает пробежаться по пунктам и убедиться, что они не забыли включить все нужные опции. А вот тем, кому роутер настроил спешащий мастер провайдера, эти советы стоит прочитать в обязательном порядке.
На сегодняшний день подавляющее большинство пользователей домашних сетей использует Wi-Fi роутеры для доступа к Интернет, однако не менее часто Wi-Fi роутеры используются злоумышленниками для совершения мошеннических действий. Так каким же образом обезопасить свой домашний роутер от несанкционированного вмешательства?
Что злоумышленник может осуществить находясь в вашей Wi-Fi сети?
1) Изменить настройки DNS-сервера. Любое доменное имя, например google.com.ua, соответствует индивидуальному IP-адресу. Сайт google.com.ua соответствует IP-адресу 74.125.232.255, и если ввести в браузере вместо имени сайта google.com.ua IP-адрес 74.125.232.255, то благодаря DNS-серверу будет осуществлен переход на сайт google.com.ua.
Злоумышленник может изменить DNS-сервер на свой собственный и настроить, например, чтобы браузер при введении сайта google.com.ua переходил на его личный IP-адрес, в результате чего будет осуществлен перехват веб-трафика или заражение вашего личного ПК, или любого устройства, которое получает доступ к глобальной сети Интернет с вашего роутера или точки доступа.
2) Следующее, что может осуществить злоумышленник — это перехват вашей личной информации путем атаки «атака посредника» или «человек посередине» (man-in-the-middle, MitM). С помощью такой атаки весь веб-трафик, которым по умолчанию отправляется к Wi-Fi роутеру, будет отправлен сначала хакеру, а затем от хакера к роутеру, таким образом, что Wi-Fi роутер не заметит изменений. Такая атака позволяет хакеру украсть ваши личные данные (логины, пароли), просмотреть ваш веб-трафик (сайты на которые вы заходили) и т.д.
3) Следует отметить, что находясь в вашей личной Wi-Fi сети хакер может осуществлять хакерские атаки (взломы сайтов, DDOS-атаки, добавлять ваши устройства к бот-сетям, скачивать детскую порнографию и т.д.) и другие незаконные действия от вашего имени, поскольку Wi-Fi роутер имеет IP-адрес, который вам предоставил ваш провайдер при уплате Интернет услуг. Также по вашему IP-адресу будут идентифицироваться все устройства (смартфоны, планшеты, ноутбуки и т.д.), подключенные к вашему роутеру или точке доступа в сети Интернет.
1) Скрывать название Wi-Fi сети.
Название сети или SSID (Service Set Identifier) — это имя, которое видят все окружающие при поиске сети. Зная это название можно подключиться к той или иной Wi-Fi сети. По умолчанию роутеры и точки доступа показывают название сети всем желающим. Название можно отключить в разделе «настройки беспроводных сетей» (Wireless Settings) вашего роутера или точки доступа. В данном разделе есть опция «включить SSID» (Enable SSID) или «отключить SSID» (Disable SSID).
2) Включать шифрование.
Данная настройка также находится в разделе «настройки беспроводных сетей» (Wireless Settings) и называется «тип шифрования» (Encryption settings). В зависимости от типа роутера или точки доступа обычно там присутствует примерно 5 вариантов на выбор.
WEP (WIRED EQUIVALENT PRIVACY) — слабейший тип шифрования. К роутеру или точке доступа с таким типом шифрования злоумышленник может получить доступ за 15 минут — 24 часов, в зависимости от активности сети. Не рекомендуется к использованию вообще. WPS/QSS WPS, он же QSS, позволяет клиенту подключиться к точке доступа с помощью 8-символьного кода, состоящего из цифр. В декабре 2011 Стефан Фибёк (англ. Stefan Viehböck) и Крейг Хеффнер (англ. Craig Heffner) рассказали о серьезных дырах в протоколе WPS. Оказалось, что если в точке доступа активирован WPS c PIN (который по умолчанию включен в большинстве роутеров), то подобрать PIN-код для подключения можно за считанные часы. Департамент киберполиции рекомендует отключить данную опцию.
WPA и WPA2 (WI-FI PROTECTED ACCESS) поддерживают два различных режима начальной аутентификации (проверка пароля доступа клиента к сети) — PSK и Enterprise. WPA-PSK и WPA2-PSK- это самые распространенные на сегодняшний день варианты шифрования для домашних Wi-Fi сетей. Подключение к сети осуществляется по единому паролю, который вводится на устройстве при подключении, разница в типе шифрования, WPA-PSK — тип шифрования TKIP, WPA2-PSK — AES (усиленный тип шифрования). WPA Enterprise отличается от WPA-PSK тем, что для использования необходимо настроить сервер — RADIUS (Remote Authentication Dial In User Service). По сути сервер RADIUS — это служба удаленной аутентификации пользователей, которая проверяет учетные данные пользователя для доступа к сети.
3) Фильтровать MAC-адреса.
Еще один способ защитить собственную домашнюю Wi-Fi сеть — это фильтрация устройств по MAC-адресу. MAC-адрес — это уникальный номер (типа серийного номера) сетевой Ethernet или Wi-Fi карты. В настройки роутера или точки доступа необходимо добавить MAC-адреса тех устройств, которые будут подключаться к вашему роутеру или точке доступа. Пользователи с MAC-адресами отличными от тех, которые указаны в настройках, не будут соединены с роутером или точкой доступа, даже при правильном введении пароля доступа.
В распространенных моделях роутеров данная функция называется «фильтрация MAC-адресов» (MAC Filtering). В операционных системах Windows MAC-адрес можно посмотреть с помощью комбинации клавиш Windows + R и введения команды cmd, в результате чего откроется командная строка Windows, в дальнейшем необходимо ввести ipconfig/all, дальше ищем строку беспроводное сетевое соединение (wireless network connection) и копируем значение физический адрес (physical address) — это и есть MAC-адрес. В системах типа Unix необходимо ввести команду ifconfig.
4) Отключать доступ к администрированию роутера или точки доступа из глобальной сети Интернет.
Чаще всего Wi-Fi роутеры поддерживают функцию удаленного администрирования через интернет. Однако для большинства пользователей нет необходимости в удаленной настройке Wi-Fi. Оставив эту функцию вы создаете дополнительную точку входа, которой может воспользоваться злоумышленник, чтобы получить доступ к вашей Wi-Fi сети.
Департамент киберполиции Украины советует при настройке вашей личной Wi-Fi сети не использовать настройки по умолчанию и пользоваться этой инструкцией.
Источник: Департамент киберполиции Украины