Защита частной WiFi сети – это важнейший момент при создании домашней группы. Дело в том, что точка доступа имеет достаточно большой радиус действия, чем могут воспользоваться злоумышленники. Что делать чтобы это предотвратить? Как защитить частную беспроводную сеть от посягательств недобросовестных людей? Именно об этом и пойдет речь в данной статье.

Как защитить домашние сети WiFi

Прежде чем переходить к вопросу, как защитить частную домашнюю WiFi сеть, следует понять, как она работает. Итак, для организации домашней беспроводной сети, как правило, используется роутер, который выполняет функции точки доступа. Для того чтобы стать участником группы необходимо подключиться к нему.

Это говорит о том, что для защиты конфиденциальной информации необходимо закрыть доступ к роутеру посторонним людям. Как это делается? Здесь есть несколько пунктов:

• Длинный и сложный пароль для входа в меню настроек роутера.
• Надежный пароль для подключения к вай-фай сети.
• Выбор безопасного типа шифрования.
• Использование MAC-фильтра.
• Настройки доступа в операционной системе.

Как видим настроек безопасности достаточно много. Это необходимо, так как от этого зависит защита конфиденциальности вай-фай сети. При этом большинство из них находятся в параметрах роутера.

Итак, давайте разберем все эти пункты по порядку.

Защита сети WiFi: Видео

Ключ для входа в меню параметров роутера

Так как практически все настройки безопасности устанавливаются в маршрутизаторе нам необходимо придумать сложный пароль для входа в систему параметров. Кроме этого, здесь используется логин, который также должен быть оригинальным и сложным. Как это сделать?

В первую очередь стоит отметить, что каждый роутер имеет различный интерфейс, но принцип работы у всех практически одинаков. Мы разберем, как поменять пароль для входа в систему маршрутизатора на примере модели D-LinkDIR-615.

Для начала подключаемся к роутеру по беспроводной связи или через кабель. После этого открываете какой-нибудь браузер и в адресной строке прописываете адрес вашего маршрутизатора. Он указан на нижней крышке устройства, а также в инструкции.

Как легко узнать IP адрес WiFi роутера: Видео

В подавляющем большинстве это следующий адрес – 192.168.0.1 (также могут использоваться такие адреса – 192.168.1.1 или 192.168.2.1).

После ввода адреса система предложит ввести логин и пароль. Изначально указано admin, admin соответственно. Именно эти значения сейчас и нужно будет поменять, так как производитель использует небезопасный логин и ключ, для того, чтобы пользователь без труда смог войти в настройки и сменить данные на свое усмотрение.

После ввода нажимаем «Enter». Вот мы и попали в меню настроек роутера. Внизу экрана нужно нажать «Расширенные настройки». Появится несколько дополнительных разделов, среди которых нужно найти «Система» и в нем выбрать «Пароль администратора». Это и есть тот самый ключ, который нам нужно изменить.

В появившемся окне необходимо просто ввести новый пароль и подтвердить его. Далее, просто нажимаем «Применить». На этом процесс смены ключа завершен, и теперь защита домашней беспроводной WiFi сети стала выше.

Как узнать пароль от своего WiFi подключения в параметрах роутера: Видео

Обратите внимание, что данная модель роутера не позволяет изменить логин администратора. Однако устройства от других производителей или даже просто других моделей позволяют установить любой логин для входа в систему.

Ключ сети вай-фай

Очень важный параметр, от которого зависит защита информации в сетях вай-фай – это пароль сети. Он предотвращает несанкционированное подключение злоумышленников к роутеру при помощи беспроводной связи. Именно поэтому ключ сети обязательно должен быть длинным и сложным.

При этом стоит отметить, что изначально на роутере вообще нет защиты вай-фай подключения. Другими словами, к устройству может подключиться каждый желающий, находящийся в зоне действия без ввода паролей.

Чтобы это исправить, нам нужно вернуться в меню настроек роутера. Теперь нас интересует раздел «WiFi», в котором нужно найти и открыть настройки безопасности. В открывшемся окне нам нужно будет выбрать тип шифрования (вид аутентификации). Это также важный параметр, который влияет на безопасность сети.

Итак, выбираем тип шифрования WPA-PSKWPA2-PSKmixed. Это рекомендуемый безопасный вид аутентификации, который обеспечивает наиболее надежную защиту. Ниже появится строка, в которой необходимо ввести ключ сети. Вводим придуманные значения. Рекомендуется использовать смесь латинских букв и цифр. Причем количество символов должно быть не менее 8-12.

MAC фильтр роутера

Каждое устройство, оснащенное сетевым адаптеров, компьютер, ноутбук, смартфон, планшет и так далее, имеет уникальный MAC адрес. Для того чтобы повысить защиту сети рекомендуется устанавливать фильтр таких адресов. Другими словами, в настройках маршрутизатора вы можете разрешить подключение только доверенным устройствам, указав их адреса.

Для этого снова входим в меню настроек роутера. В разделе «WiFi» находим MAC-фильтр и открываем его. В появившемся окне есть две вкладки:

• Режим фильтра.
• МАК-адреса.

Первое – это режим. Здесь можно выбрать один из трех вариантов:

• Разрешать – указанным МАК-адресам будет разрешен доступ к сети. Все остальные не смогут подключиться к группе.
• Запрещать – запрещает доступ к сети указанным адресам.
• Отключить – режим фильтр отключен.

В первой вкладке выбираем соответствующий режим. А во второй вводим нужные МАК-адреса. Если вы выбрали режим «Разрешать», то необходимо вводить адреса только доверенных компьютеров. Если установлен режим «Запрещать», то вводить необходимо только адреса посторонних ПК.

Как настроить MAC фильтра в роутере: Видео

Настройка доступа в ОС

Операционная система также имеет встроенные средства защиты данных. Для того чтобы повысить защиту, нам необходимо войти в центр управления сетями и общим доступом. Делается это при помощи нажатия правой кнопкой мышки по значку подключения в трее.

В открывшемся окне нужно открыть пункт «Изменение параметров общего доступа». Нам откроется меню, в котором можно настраивать доступ, включать или выключать обнаружение ПК в сети и многое другое. В первую очередь необходимо включить доступ с парольной защитой. При этом система самостоятельно сгенерирует сложный пароль. Запишите его, так как если в дальнейшем вы захотите предоставить доступ к каким-либо файлам он вам потребуется.

Для того чтобы настроить максимальную защиту системы, то следует отключить доступ во всех пунктах. Здесь нет ничего сложного, внимательно читайте подсказки на экране.

Итак, теперь вы знаете, как защитить частную WiFi сеть от злоумышленников. Теперь никто посторонний не сможет подключиться к вашей группе и нанести вред информации либо украсть важные данные.

Как определить, кто подключен к сети

С настройками безопасности мы разобрались. Теперь можно перейти к вопросу, как определить, кто подключится к моей домашней WiFi сети. Все очень просто. Роутер регистрирует МАК-адрес каждого участника группы. Поэтому нам остается просто войти в настройки маршрутизатора и посмотреть статистику. Нас снова интересует раздел «WiFi», только теперь выбираем пункт «Станционный список». Если используется роутер TP-LINK, то нужен раздел «Статистика».

В станционном списке отображаются МАК-адреса всех, кто в данный момент подключен к сети. Здесь можно разъединить то или иное соединение. Как мы уже знаем, каждый компьютер имеет уникальный МАК-адрес. Теперь вы знаете, как проверить, кто подключен к моей частной WiFi сети.

Чтобы узнать значение, которое использует компьютер достаточно войти в центр управления сетями. В центре появившегося экрана вы увидите ваше подключение. В правой половине увидите раздел «Подключение или отключение», а немного ниже – тип доступа и подключения. Нажимаете на тип подключения и в появившемся меню выбираете «Сведения». Здесь вы найдете строку «Физический адрес». Это и есть МАК-адрес вашего сетевого адаптера.

Как узнать кто пользуется моим WiFi: Видео

Имею опыт работы в ИТ сфере более 10 лет. Занимаюсь проектированием и настройкой пуско-наладочных работ. Так же имеется большой опыт в построении сетей, системном администрировании и работе с системами СКУД и видеонаблюдения.
Работаю специалистом в компании «Техно-Мастер».

Большинство из нас давно пользуются Wi-Fi-роутером для беспроводного доступа к интернету. Но такое соединение нужно защищать, иначе им смогут пользоваться посторонние, что приведёт к ухудшению сигнала, а в худшем случае - к его пропаже.

Практически все мы знаем о том, что на Wi-Fi нужно обязательно ставить пароль, но есть ещё несколько способов обезопасить свою сеть . Мы рассмотрим, как установить хороший ключ для защиты сети и использовать в комплексе все доступные меры безопасности для роутера.

Поскольку у большинства маршрутизаторов IP-адрес является стандартным, любой посторонний может ввести его в своём устройстве и получить доступ к настройкам. Поэтому, прежде чем изменять их, нужно закрыть вход в параметры роутера , изменив логин и пароль.

Зачастую во всех моделях, независимо от производителя, для заполнения обеих этих строк используется слово Admin. Нам следует установить новое имя и ключ, чтобы другие люди не могли изменить конфигурацию оборудования.

Для этого сделайте следующее:

• Зайдите в раздел System Tools.
• Выберите вкладку Password, внесите стандартные и новые данные для входа в настройки - придумайте оригинальные логин и пароль, которые будет невозможно угадать посторонним, но легко запомнить вам.

Установка пароля на Wi-Fi

Пароль - это базовое средство защиты беспроводной сети. Чтобы защитить её при помощи хорошей и сложной комбинации в качестве ключа, нужно зайти в настройки роутера. Мы будем рассматривать, как это происходит на моделях марки TP-Link. Итак, впишите свой IP-адрес в браузере, выберите раздел Wireless. Здесь мы выбираем пункт Wireless Settings, где появится меню паролей.

Введите старый код, новые данные для входа и повторите их в нижней строке. Не забудьте сохранить изменения!

Как создать хороший ключ?

• Используйте цифры и буквы, комбинируйте заглавные и строчные символы.
• Сделайте код длинным - от восьми до двенадцати знаков.
• Наиболее надёжный тип шифрования - WPA-PSK.

Изменение названия роутера

Идентификатор SSID подразумевает под собой название точки Wi-Fi , его нам выбивает в списке включённых сетей. Благодаря имени мы знаем, к какой точке доступа нам подключиться, выбирая её из перечня среди остального оборудования.

Но имя подключения доступно не только нам, но и всем, кто находится в зоне покрытия роутера. Поэтому, кроме создания хорошего ключа, стоит скрыть идентификатор SSID, чтобы он был невидимым в списке подключений при поиске сети через Wi-Fi.

Чтобы скрыть имя маршрутизатора, сделайте следующее:

• Зайдите в его настройки через адресную строку браузера.
• Перейдите в раздел Wireless и удалите флажок напротив пункта Enable SSID Broadcast.

Остаётся один вопрос: как подключится к сети, если она не отображается в списке? Для этого выберите ниже пункт создания нового подключения в списке поиска доступных сетей, вручную введите логин и пароль. Если все данные вписаны корректно, вы подсоединитесь к интернету.

Фильтрация MAC-адресов

Точку Wi-Fi можно сделать видимой для отдельного ряда устройств, если внести их в список в настройках роутера. Делается это с использованием MAC-адреса - он имеется у каждого компьютера или ноутбука, смартфона.

Чтобы узнать его координаты на ПК, зайдите в Центр управления сетями через Панель управления, выберите своё интернет-подключение и просмотрите свойства. После нажатия «Сведения» вы увидите Физический адрес - это и есть идентификатор MAC.

На другой технике соответствующую информацию вы узнаете в разделе «Об устройстве».

Для ограничения доступа по MAC-адресу выполните такие действия:

• Зайдите в настройки роутера и выберите раздел Wireless, далее остановитесь на меню Wireless MAC Filtering.
• Здесь выберите строку Allow the stations specified by any enabled entries in the list to access. После сохранения параметров точка Wi-Fi станет открытой только для тех устройств, которые есть в списке.

Как добавить свой адрес в настройки? В этом же меню есть клавиша Add new…, с её помощью вы вносите все MAC-адреса, которым вы разрешите доступ к интернету.

У этого варианта защиты есть только один недостаток: если к Wi-Fi часто подключаются новые устройства, неудобно будет добавлять каждый раз их в список. Фильтрация по MAC-адресу не является абсолютно надёжной, но её стоит использовать в комплексе с другими мерами по защите своей сети от чужого оборудования.

Установка отдельных IP-адресов

Этот способ защиты более совершенен, чем предыдущий. Вы создаёте отдельный IP при помощи MAC-идентификатора каждого отдельного пользователя, а все остальные не смогут пользоваться Wi-Fi.

Для установки адреса, прежде всего, зайдите в настройках роутера в раздел DHCP и отключите одноимённый сервер, чтобы координаты подключения не определялись автоматически.

Ниже по странице вы увидите перечень для внесения оборудования, которому вы разрешите соединение. Прежде всего, добавьте в него свой компьютер. Чтобы сделать это, вам понадобиться его MAC-адрес, после чего на своё усмотрение придумайте для него отдельный IP-код. И так с каждым следующим устройством. Не забудьте изменить в настройках компьютера IP-адрес на тот, который вы присвоили ему в этом списке.

Как проверить, кто пользуется моим Wi-Fi?

Время от времени проверяйте, кто использует ваш Wi-Fi, чтобы наверняка быть уверенным в работе защитных механизмов роутера.

Воспользуйтесь настройками, выберите раздел Статистика. Здесь вы увидите MAC-адреса всей техники, которая пользуется вашим интернет-соединением. Зная MAC-адрес своего компьютера и остальных устройств, которым вы разрешили доступ , можно отсеять их и увидеть, нет ли в списке посторонних адресов других пользователей.

Спрашивают, как защитить WiFi сеть. В данной статье мы рассмотрим несколько методик, которые позволят значительно усложнить доступ к вашей сети со стороны не желательных пользователей.

Но при создании Wi-Fi сети появляется угроза безопасности вашим данным. Все что передается по беспроводной сети , транслируется на довольно ощутимое расстояние и злоумышленники могут получить доступ к этим данным. Для того чтобы защитить WiFi сеть от такой атаки нужно предпринять несколько простых действий.

Используйте надежный пароль для доступа к настройкам роутера

При настройке необходимо обязательно сменить стандартный пароль. При этом не следует путь пароль для доступа к роутеру с паролем (ключом) для подключения к сети.

Используйте надежный режим безопасности.

1. Беспроводной режим -> Защита беспроводного режима (Wireless -> Wireless Security ).
2. В поле Версия (Version ) выберите WPA2-PSK .
3. В поле Шифрование (Encryption ) выберите AES .
4. Нажмите Сохранить (Save ).

Отключите WPS

Была ли информация полезна?

Общие статьи: Общие статьи

Когда вы подключаетесь к публичному Wi-Fi, например, в кафе, данные передаются в незашифрованном виде. Это значит, что ваши пароли, логины, переписка и другая конфиденциальная информация становятся доступны для злоумышленников. Электронные адреса могут быть использованы для рассылки спама, а данные на странице вашей социальной сети могут быть изменены.

Домашняя Wi-Fi сеть тоже может быть под угрозой, если:

• Сеть защищена легким паролем.
• У сети распространенное название.
• Отключено шифрование.

Откройте настройки роутера

1. Введите IP-адрес роутера в адресную строку браузера, вы попадете на страницу авторизации к настройкам роутера. IP-адрес роутера указан на задней стороне устройства и в руководстве пользователя.
2. На странице авторизации введите логин и пароль. Они указаны на задней стороне роутера.

Придумайте надежный пароль для доступа к роутеру

Как правило, для доступа к настройкам роутера используются стандартные логин и пароль. Злоумышленник может узнать логин и пароль от вашего роутера, скачав руководство пользователя для устройства с сайта производителя.

Чтобы этого не произошло, измените пароль к роутеру. Используйте рекомендации по составлению надежных паролей.

Придумайте уникальное имя (SSID) для Wi-Fi сети

Часто для взлома паролей используются радужные таблицы (rainbow table) . В заранее созданных радужных таблицах для популярных SSID хранятся миллионы возможных паролей. В случае, если ваш SSID и пароль находятся в такой таблице, то злоумышленник сможет мгновенно восстановить пароль к сети с помощью специальных программ.

Чтобы повысить безопасность домашней беспроводной сети, придумайте не распространенное SSID.

Интерфейсы роутеров различаются в зависимости от производителя, конкретной модели и версии прошивки. Чтобы ориентироваться в настройках роутера, используйте руководство пользователя для вашей модели. Как правило, оно прилагается к роутеру, или вы можете скачать его на сайте производителя устройства.

1. Введите IP-адрес роутера в адресную строку браузера, вы попадете на страницу авторизации к настройкам роутера. IP-адрес роутера указан на задней стороне устройства и в руководстве пользователя.
2. На странице авторизации введите логин и пароль. Если вы не меняли их, они указаны на задней стороне роутера.
3. На странице настроек роутера выберите Беспроводной режим -> Настройки беспроводного режима (Wireless -> Wireless Settings ).
4. В поле Имя сети (Wireless Network Name ) придумайте и введите название Wi-Fi сети.
5. Нажмите Сохранить (Save ).

Придумайте надежный пароль для Wi-Fi сети

Без пароля ваша Wi-Fi сеть будет доступной для всех. Надежный пароль не позволит подключиться к ней посторонним людям. Используйте рекомендации по составлению надежных паролей.

Интерфейсы роутеров различаются в зависимости от производителя, конкретной модели и версии прошивки. Чтобы ориентироваться в настройках роутера, используйте руководство пользователя для вашей модели. Как правило, оно прилагается к роутеру, или вы можете скачать его на сайте производителя устройства.

Для примера мы показываем настройку роутера TP-Link TL-WR841N. Чтобы изменить пароль:

1. Введите IP-адрес роутера в адресную строку браузера, вы попадете на страницу авторизации к настройкам роутера. IP-адрес роутера указан на задней стороне устройства и в руководстве пользователя.
2. На странице авторизации введите логин и пароль. Если вы не меняли их, они указаны на задней стороне роутера.
3. На странице настроек роутера выберите Беспроводной режим -> Защита беспроводного режима (Wireless -> Wireless Security ).
4. В поле Пароль PSK (PSK Password ) придумайте и введите пароль к Wi-Fi сети.
5. Нажмите Сохранить (Save ).

Сделайте вашу Wi-Fi сеть невидимой

В настройках роутера скройте имя сети. В результате ваша Wi-Fi сеть не будет отображаться в списке доступных беспроводных сетей. Обнаружить ее без специального программного обеспечения будет невозможно.

Включите шифрование

При работе в сети со слабым шифрованием ваши данные могут перехватить злоумышленники. Если вы подключаетесь к домашней сети и получаете сообщение о слабом шифровании, измените тип шифрования на более надежный. Распространенные типы шифрования беспроводных сетей:

Главное отличие между ними - уровень защиты. WEP уступает прочим по надежности, но поддерживается старым оборудованием. WPA2 - самый надежный.

Интерфейсы роутеров различаются в зависимости от производителя, конкретной модели и версии прошивки. Чтобы ориентироваться в настройках роутера, используйте руководство пользователя для вашей модели. Как правило, оно прилагается к роутеру, или вы можете скачать его на сайте производителя устройства.

Для примера мы показываем настройку роутера TP-Link TL-WR841N.

Чтобы изменить тип шифрования беспроводной сети:

1. Введите IP-адрес роутера в адресную строку браузера, вы попадете на страницу авторизации к настройкам роутера. IP-адрес роутера указан на задней стороне устройства и в руководстве пользователя.
2. На странице авторизации введите логин и пароль. Если вы не меняли их, они указаны на задней стороне роутера.
3. На странице настроек роутера выберите Беспроводной режим -> Защита беспроводного режима (Wireless -> Wireless Security ).
4. В поле Версия (Version ) выберите WPA2-PSK .
5. В поле Шифрование (Encryption ) выберите AES .
6. Нажмите Сохранить (Save ).

Как показывает практика, большинство пользователей забывают или пренебрегают защитой своей домашней сети сразу после установки пароля на Wi-Fi.

Защита беспроводной сети – не самая простая, но очень важная задача.

Получив доступ к вашей сети, злоумышленник может безнаказанно размещать нелегальный контент или занять ваш канал и значительно снизить скорость соединения, за которое вы, кстати, платите . Он также может получить доступ не только к вашему компьютеру, но и ко всем устройствам в вашей сети.

Вместо того, чтобы испытывать судьбу – давайте пройдёмся по простым и очевидным мероприятиям, которыми пользователи частенько пренебрегают.

Скрываем SSID

Имя сети или SSID (Service Set Identifier), которое мы видим, сканируя пространство вокруг, в поисках Wi-Fi. Зная это имя сети можно подключиться к той или иной Wi-Fi сети. По умолчанию роутеры и точки доступа показывают SSID вашей сети всем желающим. Однако, его можно отключить в разделе вашего роутера или точки доступа. В данном разделе есть опция “включить SSID” (Enable SSID) или “отключить SSID” (Disable SSID) . Устанавливаем или убираем галочку, в зависимости от названия опции в соответствующей настройке роутера.

Включаем шифрование

Следующий момент – шифрование канала. Эта опция так же находится в разделе “настройки беспроводных сетей” (Wireless Settings) и называется “тип шифрования” (Encryption settings) . Раскрываем выпадающий список и видим штук 5 вариантов на выбор (в зависимости от модели роутера ). Чем отличаются одни типы шифрования от других?

WEP (WIRED EQUIVALENT PRIVACY) .
Вышел еще в конце 90-х и является одним из самых слабых типов шифрования. Во многих современных роутерах этот тип шифрования вовсе исключен из списка возможных вариантов шифрования. Основная проблема WEP - заключается в ошибке при его проектировании. WEP фактически передаёт несколько байт ключа шифрования (пароля) вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности пароля можно взломать любую точку доступа зашифрованную при помощи WEP, перехватив достаточное для взлома пароля число пакетов.

WPS/QSS
WPS, он же QSS - позволяет забыть о пароле и подключаться к сети простым нажатием на кнопку на роутере. WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр. Но не всё так радужно. За счет использования только цифр, криптостойкость WPS намного ниже чем у WEP и получить доступ к вашей сети не составит особого труда.

WPA и WPA2 (WI-FI PROTECTED ACCESS)
Одни из самых современных на данный момент типов шифрования и новых пока не придумали. WPA/WPA2 поддерживают два разных режима начальной аутентификации (проверка пароля для доступа клиента к сети) - PSK и Enterprise .

WPA PSK или WPA Personal – это самый распространённый вариант шифрования для домашних Wi-Fi сетей. Подключение к сети осуществляется по единому паролю, который вводится на устройстве при подключении.

WPA Enterprise отличается от WPA Personal тем, что для его использования необходим отдельный сервер - RADIUS (Remote Authentication Dial In User Service). По сути RADIUS сервер – это служба удалённой аутентификации пользователей, которая проверяет учетные данные пользователя для аутентификации.

Настраиваем фильтр MAC адресов

Самый радикальный способ обезопасить вашу домашнюю Wi-Fi сеть – это настроить фильтрацию устройств по MAC-адресу. MAC-адрес – это уникальный идентификатор вашего устройства в сети. По нему можно отфильтровать устройства, которым разрешён доступ в вашу сеть или наоборот.

Идем в раздел настроек роутера, который называется “фильтрация MAC-адресов” (MAC Filtering) . В нём добавляем МАС-адреса, которые могут авторизоваться в вашей сети. МАС-адрес вашего устройства можно посмотреть либо в свойствах беспроводного соединения, в разделе “дополнительно” , если это компьютер, либо в настройках смартфона или планшета, в разделе “Об устройстве” . МАС-адрес состоит из 6 блоков по 2 цифры в шестнадцатеричной системе счисления, разделённых дефисами. Например: A0-23-1D-14-8C-C9 .

Включаем гостевой доступ

Ограничив доступ к сети по MAC-адресу, вы значительно повысите уровень безопасности вашей сети. А как же друзья и знакомые, которые захотят выйти в Интернет через ваше подключение, со своих смартфонов или планшетов? Добавлять MAC-адрес каждого устройства явно дольше, чем просто дать пароль от Wi-Fi. На такой случай в большинстве современных роутеров предусмотрен гостевой доступ. Гостевой доступ подразумевает, что роутер создает отдельную сеть с собственным паролем , никак не связанную с вашей домашней. Включить гостевой доступ (при его наличии) можно в разделе “настройки домашней сети” (Home Network) или в “настройки беспроводной сети” (Wireless Network) .

Является самым важным электронным устройством в их жизни. Он соединяет большинство других устройств с внешним миром и именно поэтому представляет максимальный интерес для хакеров.

К сожалению, многие роутеры для дома и малого бизнеса по умолчанию поставляются с небезопасной конфигурацией, обладают недокументированными учетными записями для управления, используют устаревшие службы и работают на старых версиях прошивок, которые легко взломать с помощью давно известных приемов. Часть из перечисленных проблем сами пользователи, увы, исправить не сумеют, но тем не менее можно предпринять целый ряд действий, чтобы защитить эти устройства как минимум от крупномасштабных автоматизированных атак.

Основные действия

Избегайте использования роутеров, предоставляемых провайдерами. Во-первых, они зачастую дороже. Но это не самая большая проблема. Такие маршрутизаторы, как правило, менее защищены, чем те модели, которые продают производители в магазинах. Очень часто они содержат жестко запрограммированные учетные данные для удаленной поддержки, которые пользователи не могут изменять. Обновления для измененных версий прошивок часто отстают по времени от релизов для коммерческих роутеров.

Измените пароль администратора по умолчанию. Многие роутеры поставляются с типовыми паролями администратора (admin/admin), и злоумышленники постоянно пытаются войти на устройства, используя эти общеизвестные учетные данные. После подключения к интерфейсу управления маршрутизатора через браузер в первый раз - его IP-адрес обычно находится на наклейке с нижней стороны или в руководстве пользователя - первое, что вам нужно сделать, это изменить пароль.

Кроме того, веб-интерфейс маршрутизатора управления не должен быть доступен из Интернета. Для большинства пользователей управлять роутером извне локальной сети просто не нужно. Однако если у вас все же есть потребность в удаленном управлении , рассмотрите возможность использовать VPN для создания защищенного канала подключения к локальной сети и только затем обращайтесь к интерфейсу маршрутизатора.

Даже внутри локальной сети стоит ограничить спектр IP-адресов, с которых можно управлять маршрутизатором. Если этот параметр доступен в вашей модели, лучше разрешить доступ с одного IP-адреса, который не входит в пул IP-адресов, назначаемых роутером через DHCP (протокол динамической конфигурации хостов). Например, вы можете настроить DHCP-сервер маршрутизатора для назначения IP-адресов от 192.168.0.1 до 192.168.0.50, а затем настроить веб-интерфейс, чтобы он принимал администратора только с адреса 192.168.0.53. Компьютер должен быть настроен вручную, чтобы использовать этот адрес лишь в том случае, когда необходимо администрировать роутер.

Включайте доступ к интерфейсу маршрутизатора по протоколу https, если имеется поддержка защищенного соединения, и всегда выходите, закрывая сессию по завершении настройки. Используйте браузер в режиме инкогнито или в приватном режиме, чтобы Cookies не сохранялись в автоматическом режиме, и никогда не позволяйте браузеру сохранять имя пользователя и пароль интерфейса роутера.

Если это возможно, измените IP-адрес роутера. Чаще всего роутерам назначается первый адрес в предопределенном диапазоне, например, 192.168.0.1. Если такая опция доступна, измените его на 192.168.0.99 или на какой-либо другой адрес, который легко запомнить и который не является частью пула DHCP. Кстати, весь спектр адресов используемых маршрутизатором также может быть изменен. Это позволяет защититься от фальшивых межсайтовых запросов (CSRF), когда атака происходит через браузеры пользователей и с применением типового IP-адреса, обычно присваиваемого таким устройствам.

Создавайте сложный пароль к Wi-Fi и выбирайте надежную защиту протокола. Протокол WPA2 (Wi-Fi Protected Access 2) лучше старых WPA и WEP, которые более уязвимы для атак. Если роутер предоставляет такую возможность, создайте гостевую беспроводную сеть, также защитив ее WPA2 и сложным паролем. Пусть посетители или друзья используют этот изолированный сегмент гостевой сети, а не вашу основную сеть. У них может и не быть злого умысла, но их устройства могут быть взломаны или заражены программами-злоумышленниками.

Отключите функцию WPS. Эта редко используемая функция предназначена для того, чтобы помочь пользователям настроить Wi-Fi, используя PIN-код, напечатанный на наклейке роутера. Однако во многих реализациях версий WPS, предоставляемых различными поставщиками, несколько лет назад была найдена серьезная уязвимость, которая позволяет хакерам взламывать сети. И поскольку будет трудно определить, какие конкретно модели роутеров и версии прошивки уязвимы, лучше просто отключить данную функцию на роутере, если он позволяет сделать это. Вместо этого можно подключиться к маршрутизатору через проводное соединение и через веб-интерфейс управления, например, настроить Wi-Fi с WPA2 и пользовательский пароль (без WPS вообще).

Чем меньше сервисов вашего роутера открыты для Интернета, тем лучше. Это особенно правильно в тех случаях, когда не вы включили их, а возможно, даже не знаете, что они делают. Такие сервисы, как Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell) и HNAP (Home Network Administration Protocol), вообще не должны активироваться для внешней сети, так как они потенциально несут в себе риски для безопасности. Впрочем, они также должны быть выключены и в локальной сети, если вы их не используете. Онлайн-сервисы, вроде Shields UP от Gibson Research Corporation (GRC), могут просто сканировать публичный IP-адрес вашего роутера в поиске открытых портов. Кстати, Shields Up способен вести отдельно сканирование именно для UPnP.

Следите, чтобы прошивка вашего роутера была свежей. Одни роутеры позволяют проверить обновления прошивки прямо из интерфейса, а другие - даже имеют функцию автоматического обновления. Но иногда эти проверки могут происходить некорректно из-за изменений на серверах производителя, например, по прошествии нескольких лет. Поэтому стоит регулярно проверять сайт производителя вручную, чтобы узнать, не появилось ли там обновление прошивки для вашей модели роутера.

Более сложные действия

Вы можете использовать сегментацию сети, чтобы изолировать ее от рискованного устройства. Некоторые потребительские роутеры предоставляют возможность создавать сети VLAN (виртуальные локальные сети) внутри крупной частной сети. Такие виртуальные сети можно использовать для изоляции устройств из категории Интернета Вещей (IoT), которые бывают полны уязвимостей, что неоднократно доказывали исследователи (Берд Киви рассматривал данную проблему в предыдущем номере «Мира ПК» - прим.ред.). Многими устройствами IoT можно управлять с помощью смартфона через внешние облачные сервисы . А поскольку они имеют доступ к Интернету, такие аппараты после начальной настройки не должны взаимодействовать со смартфонами напрямую по локальной сети. Устройства IoT часто используют незащищенные административные протоколы для локальной сети, так что злоумышленник сумеет легко взломать такое устройство, используя зараженный компьютер, если они оба находятся в одной сети.

Благодаря фильтрации MAC-адресов, можно не допустить опасные устройства в вашу сеть Wi-Fi. Многие роутеры позволяют ограничить перечень устройств, имеющих право входить в сеть Wi-Fi, по их MAC-адресу - уникальному идентификатору физической сетевой карты . Включение этой функции не позволит атакующему подключиться к Wi-Fi сети , даже если он сумеет украсть или подобрать пароль. Недостатком такого подхода является то, что ручное управление списком разрешенных устройств может быстро стать излишней административной нагрузкой для крупных сетей.

Проброс портов должен быть использован только в сочетании с IP-фильтрацией. Сервисы, запущенные на компьютере за роутером, не будут доступны из Интернета, если на роутере не определены правила переадресации портов. Многие программы пытаются открыть порты роутера автоматически через UPnP, что не всегда безопасно. Если вы отключите UPnP, эти правила можно будет добавить вручную. Причем некоторые роутеры даже позволяют указать IP-адрес или целый блок адресов, которые могут подключаться к определенному порту, чтобы получить доступ к тому или иному сервису внутри сети. Например, если вы хотите получить доступ к FTP-серверу на вашем домашнем компьютере , находясь на работе, то можете создать правило проброса порта 21 (FTP) в вашем роутере, но разрешить подключения только с блока IP-адресов вашей фирмы.

Кастомные прошивки могут быть более безопасными, чем заводские. Существует несколько основанных на Linux и поддерживаемых сообществом проектов прошивок для широкого спектра домашних роутеров. Они, как правило, предлагают расширенные функции и настройки по сравнению с имеющимися у заводской прошивки, а сообщество быстрее исправляет их недостатки, чем сами производители роутеров. Поскольку эти микропрограммы позиционируются для энтузиастов, число устройств, которые их используют, гораздо меньше, чем устройств с прошивкой от производителя. Это значительно снижает вероятность обширных атак на кастомные прошивки. Тем не менее очень важно иметь в виду, что загрузка прошивки на роутер требует хороших технических знаний. Вполне вероятно, что вы лишитесь гарантии, и в случае ошибки устройство может выйти из строя. Учтите это, ведь вы же были предупреждены!

Как защититься

Проверьте, включена ли функция удаленного доступа в вашем роутере. Она часто есть в устройствах, которые дают провайдеры связи. Провайдерам удаленный доступ нужен для дела: так им проще помогать пользователям с настройкой сети. Тем не менее провайдеры могут оставить в веб-интерфейсе пароль по умолчанию, что делает вас легкой добычей хакерских программ.

Если вы можете зайти в веб-интерфейс со стандартными логином и паролем admin / admin, обязательно поменяйте пароль и запишите его. Когда провайдер будет настраивать ваш роутер удаленно, просто скажите, что поменяли пароль из соображений безопасности, и продиктуйте его оператору.

Инструкция по защите роутера

1. Поставьте на вайфай надежный пароль.
2. Смените стандартный пароль администратора.
3. Если роутер не от провайдера, отключите удаленный доступ.
4. Если не знаете, как это всё сделать, вызовите компьютерного мастера, которому вы доверяете.