Как защитить Wi-Fi роутер от взлома. Разрушение мифов.

Натыкался на множество статей, посвященных защите Wi-Fi. Но некоторые советы авторов усложняют жизнь не злоумышленникам, а самим пользователям. Пройдусь по самым популярным советам и расскажу что действительно может помочь.

1. Для чего вообще защищать свою Wi-Fi сеть?

Большинство пользователей не понимают, что незащищенная сеть может быть опасна. И в первую очередь для хозяина сети. Я не говорю о снижении скорости при подключении к сети большого числа пользователей, ведь это это не самое опасное. Если к сети подключится злоумышленник, то вы можете стать жертвой атак типа «Человек посередине», в ходе которых злоумышленник может получить данные, вводимые на сайтах, заразить ваше устройство вредоносным кодом, но самое страшное — совершение противоправных действий, используя ваш IP-адрес. Злоумышленник может размещать запрещенную информацию, участвовать в продаже запрещенных веществ и так далее. Как итог, правоохранительные органы делают запрос к операторам связи, узнают кому был выдан IP-адрес в данный момент времени. А кому он был выдан? Тому самому пользователю, который не защищал свою сеть. Доказать свою невиновность будет крайне сложно.

Перейдем к способам защиты, которые предлагают авторы статей:

2. Изменение данных для авторизации в панель управление роутером.

Помимо обычного пароля для подключения есть еще и пароль для входа в настройки роутера. Обычно это комбинации вроде: admin-admin, admin-12345, 12345678-12345678 и тд. Чаще всего они написаны на обратной стороне маршрутизатора.

С этим утверждение я согласен, эти данные стоит сменить в первую очередь. Кроме того, рекомендую менять логин на отличный от admin,root,user и тому подобные.

Дополнительно хочу сказать, что стоит отключать возможность подключения к Web-панели роутера из Глобальной сети, если вы этим конечно не пользуетесь. А если пользуетесь, уделите особое внимание созданию надежной пары логин-пароль.

3. Отключение WPS

Протокол WPS был создан для облегчения подключения устройств к сети, но технология так и не стала популярной. И данный момент активно используется лишь в сегменте IOT. Подробнее о том что представляет собой данный протокол можете прочитать в других источниках. Скажу лишь, что WPS-PIN представляет собой 8-значный цифровой код. Полный перебор займет достаточно много времени, но у данного протокола есть множество уязвимостей, позволяющих снизить время перебора до 15 минут(!). Это очень мало, отключать данную функцию рекомендую ВСЕМ.

4. Обновление прошивки роутера

Как и в случае с операционными системами, браузерами и любыми другими программными решениями, люди все время обнаруживают дыры в безопасности маршрутизаторов. Когда производители узнают об этих уязвимостях они выпускают новые версии прошивок для роутера. Всегда проверяйте наличие актуальной прошивки для вашего оборудования на официальном сайте производителя. Новая прошивка также может добавить новые функции вашему устройству, так что это беспроигрышный вариант.

Как обновить роутер —зависит от конкретной модели. Бывает, что прошивку можно обновить онлайн прямо из панели управления роутером без скачивания файла. Но это на новых моделях. Для старых нужно зайти на сайт производителя, найти номер своей модели и обязательно номер ревизии. Чтобы его узнать, надо посмотреть на наклейку на корпусе роутера. Она обозначена как V.01 или Ver.01

Скачиваем файл, заходим в админку в раздел обновления прошивки и импортируем ее в роутер.

В данном случае я полностью согласен, обновлять прошивку действительно нужно. Но некоторые производители, особенно бюджетных роутеров, прекращают поддержку своих устройств через пару лет. Следовательно, новые уязвимости не будут закрыты в Вашем роутере.

5. Белый список MAC-адресов

Не знаю есть ли эта функция есть в каждом маршрутизаторе, но думаю, что должна быть. MAC-адрес – уникальный адрес Wi-Fi адаптера (модуля). То есть, у каждого устройства он свой. В настройках роутера можно прописать MAC-адреса тех устройств, которые могут подключаться к вашей сети (создать белый список адресов). Если MAC-адреса устройства в списке нет – оно к сети не подключиться.

Это наверное самая эффективная защита маршрутизатора. Неудобство лишь в том, что при подключении новых устройств придется заходить в настройки роутера и прописывать их MAC-адреса.

Насчет самой эффективной защиты я не согласен от слова совсем. В сетях Wi-Fi главной уязвимостью является передача некоторых данных при подключении к точке доступа в открытом виде. То есть, отлавливая пакеты обмена между ТД и клиентом можно выяснить их MAC-адреса, а заменить MAC-адрес своего устройства дело одной команды в терминале.

6. Скрытие SSID

В настройках Wi-Fi сети на маршрутизаторе есть такая функция как «Скрыть SSID» (Hide SSID), или «Отключить широковещание SSID». После ее активации устройства перестанут видеть вашу Wi-Fi сеть. А чтобы к ней подключиться, нужно будет указать не только пароль, но и имя самой сети (SSID). А это дополнительная защита.

Но и тут согласится я не могу. Отличие «скрытых» сетей от обычных в том, что они не сообщают о своем существовании 10 раз в секунду. Но при сканировании эфира мы можем узнать их BSSID(MAC-адрес), но для подключения к сети нужна пара ESSID-пароль. И опять же, из-за уязвимостей самого протокола Wi-Fi при подключения клиента, который «знает» скрытую сеть, можно отловить пакет в котором и будет «скрытый» ESSID. Не такие уж они и скрытые.

7. Изменение имени сети

Имя сети — это то, что вы видите при подключении или поиске вай-фай. Обычно роутеры используют в названии своего производителя: «dlink», «Linksys», «TP-Link». И именно это является ошибкой, другие пользователи легко могут идентифицировать тип вашего маршрутизатора и погуглить как его взломать.

Смена SSID в данном случае не поможет, производителя маршрутизатора можно идентифицировать по MAC-адресу точки доступа. Некоторые роутеры позволяют его сменить. Но и это не особо повышает безопасность сети.

8. Изменение пароля для подключения к сети и установка стандарта шифрования

Современные роутеры поддерживают различные методы шифрования данных, передаваемых по беспроводной сети, в том числе WEP, WPA и WPA2. WEP можно взломать за 5 минут, зато поддерживается старым оборудованием. WPA2 Personal (иногда можно увидеть варианты WPA2-PSK) — является оптимальным с точки зрения надёжности. Затем введите пароль (если вы ранее его не вводили). Главное отличать, что это НЕ ТОТ ЖЕ пароль, который мы использовали в 1 шаге. Это то, что вы вводите в вашем устройстве при подключении к точке доступа. Поэтому придумайте какую-нибудь дурацкую длинную фразу, о которой никто не сможет догадаться. Обязательно используйте сочетания заглавных и строчных букв, цифры и различные символы, чтобы сделать ваш пароль действительно надёжным. Желательно запомнить ваш пароль или хотя бы записать и убрать листочек в недоступное посторонним лицам место.

В целом согласен, но главным критерием должна являться длина пароля, я рекомендую пароли, состоящие как минимум из 16 символов. К примеру, при использовании GPU NVIDIA RTX 2070 скорость перебора составит примерно 400.000 паролей в секунду. 8-значный пароль, состоящий только из цифр будет гарантированно подобран за 4 минуты. А пароль состоящий из цифр, заглавных и строчных букв латинского алфавита при той же длине будет гарантированно подобран за 105 суток.

Но эти расчеты верны при наличии у злоумышленника лишь одной видеокарты, поэтому пароли должны быть как можно длиннее, но в то же время они должны быть легкозапоминающимися.

В ходе статьи были использованы материалы с сайта comhub.ru

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *