Сигурност

Как да подсигурим домашния си рутер.

wifi-router

 

Домашните рутери са директно достъпни от Интернет, лесни за откриване в Мрежата, обикновено са включени 24/7 и са често уязвими заради оставени default (по подразбиране) конфигурации. Тези техни характеристики превръщат домашните потребители в лесна жертва за всеки зложелател. Превантивните стъпки, описани по-долу целят да ви помогнат да повишите сигурността на мрежата у дома и да я защитите срещу атаки от външни източници.

 

1000016-00-00-00-00_lg

Защо да ме е грижа? Нямам нищо тайно в домашната си мрежа…

Има няколко вектора на атаки срещу корпоративни мрежи, които включват хакване на домашните мрежи на служителите на набелязаната компания. Тъй като там обикновено не действат стриктните защити на компаниите с добър IT-отдел или външна IT фирма, чрез лаптопите и смартфоните, донесени от офиса у дома, могат лесно да бъдат компрометирани мрежите на компанията, когато устройството бъде внесено обратно в офиса, или дори когато бъде свързано с през VPN към сървърите на организацията. Също така, оставяйки настрани корпоративната сигурност, ако атакуващ добие достъп до мрежата ви, той може да направи на практика всичко – да инсталира вирус на компютъра ви, да следи натиснатите от вас клавиши, да следи посетените от вас сайтове, да открадне акаунтите ви за социални платформи и финансови услуги. При това без да инвестира много време или усилия в това.

Хубавите новини са, че и вие, отново без много усилия, можете да подсилите сигурността на рутера си, следвайки следните няколко съвета:

  1. Сменете потребителското име и парола за достъп до уеб-интерфейса за настройване на рутера. Имената и паролите, заложени от производителите в устройствата, са публично достъпни и всички хакери имат достъп до тях, затова те трябва да бъдат сменяни още по време на първоначалната настройка на устройството. Най-добре е да ползвате силна парола, за да направите живота на всеки злонамерен хакер малко по-тъжен.
  2. Сменете името на безжичната си мрежа (SSID). Така нареченият service set identifier (SSID) е уникално име, което идентифицира конкретна безжична мрежа. Всички безжични устройства в мрежата ви го “търсят”, за да се свържат към рутера ви. Производителите на безжични рутери залагат SSID, по които лесно може да бъде идентифицирана марката на устройството. Атакуващият може да използва тази информация, за да експлоатира известните уязвимости на тази конкретна марка. Също така често потребителите използват своите имена или тези на компаниите си за SSID. Това е лоша практика, защото тази информация помага на атакуващите да идентифицират по-лесно човека, управляващ мрежата и да приложат различни атаки, базирани върху социално инженерство.  Също така избирането на на популярно име за безжичната мрежа (Linksys, D-Link, George, Ivan и т.н.) позволява много по-бързо кракване на паролата чрез използване на Rainbow Tables Cracking.
  3. Не стойте логнати (влезли) в страницата за настройка на рутера си. Винаги използвайте опцията “log out” или “изход”. Тъй като производителите на безжичен хардуер рядко налагат влизане през https, нито криптират бисквитките (cookies) в конфигурационните страници на устройствата си, атакуващият има възможност да приложи атака от типа cookie stealing или CRSF, настанявайки се във вашата сесия и установявайки се за постоянно в рутера и мрежата ви.
  4. Настройте алгоритъма за криптиране на Wi-Fi паролата ви да бъде Wi-Fi Protected Access 2 (WPA2)-Advanced Encryption Standard (AES). Някои рутери все още позволяват ползване на WEP алгоритъм, но той е уязвим и се краква лесно за няколко минути.
  5. Незабавно забранете WPS. Wi-Fi Protected Setup (WPS) е набор от инструменти, които позволяват на потребителите да добавят нови устройства в мрежата си без да въвеждат паролата за нея на всяко от тях. Това става чрез натискане на WPS-бутона на рутера. За съжаление в дизайна на WPS-функционалността съществува сериозен недостатък, позволяващ на атакуващия лесно да разбере когато първата половина от общо 8-символния PIN, ползван от WPS за установяване на връзка без въвеждане на парола, е правилна. След това лесно може да кракне целия PIN и да влезе в мрежата ви, без да се налага натискане на бутона WPS на устройството.
  6. Ограничете силата на безжичния сигнал. В повечето случаи сигналът на рутера ви се разпростира далеч отвъд стените на дома или офиса ви. Това позволява на атакуващия да работи спокойно по разбиването на защитите ви от кафенето пред блока ви или от автомобила си, паркиран пред вашия вход. Експериментирайте с различни настройки – повечето рутери предлагат възможност за намаляване на сигнала с процент от най-високата възможна мощност със стъпка през 10% или 25%. Установете опитно коя сила е оптимална за вашата защита, без да оставя важните места от дома ви без безжичен сигнал.
  7. Изключвайте безжичната мрежа, когато не я ползвате. Така ще ограничите времевите интервали, в които атакуващият може да работи по разбиването на мрежата ви. Тъй като не е особено практично да изключвате целия си рутер нощем, докато сте на работа или когато няма да сте у вас дълго време, можете да изключите само безжичната функционалност – повечето устройства разполагат с опция за изключване на WiFi в зададени от вас часови интервали от денонощието, както и опция да изключите незабавно безжичната си мрежа “ръчно”. Някои от тях дори имат и бутон, разположен върху корпуса им, който включва и изключва безжичното излъчване.
  8. Изключете UPnP, когато не е необходимо. Universal Plug and Play (UPnP) е доста удобна функционалност, позволяваща на устройствата в мрежата ви да установяват автоматично връзка едно с друго и да обменят данни. Въпреки, че това може да облекчи първоначалното конфигуриране на някои мрежови принтери, например, тя е също и риск за сигурността ви. Например, ако компютърът ви се зарази с вирус, той може автоматично през UPnP да отвори вратичка в рутера ви, през която хакерът да добие контрол над цялата ви мрежа.
  9. Актуализирайте firmware-а на рутера си редовно. Това е същото, като да поддържате операционната си система с инсталирани последни ъпдейти и “кръпки” на откритите проблеми в сигурността и скоростта.
  10. Забранете отдалеченото администриране. Обикновено то е забранено по подразбиране, но е добра идея да го погледнете още веднъж. Така ще ограничите възможността хакерът да налучка паролата ви през Интернет.
  11. Преглеждайте регулярно свързаните към рутера устройства. Всички рутери позволяват с няколко кликвания да видите свързаните към тях устройства. Ако видите такова, което не ви е познато, не бързайте да го разкачате (рутерът ви вероятно поддържа такава опция). Нашият съвет е, ако сте сигурни, че това устройство не е ваша собственост, да се свържете с нас, за да можем да координираме и съвместно с CERT България да извършим издирването на нарушителя. Законът е на ваша страна във всички случаи, в които някой неправомерно получи достъп до част от вашата IT инфраструктура,  но не забравяйте, че е важно при установяване на подобно деяние да се действа бързо и професионално.