Брандмауэр роутера надо включить или нет

C распространением широкополосного доступа в интернет и карманных гаджетов стали чрезвычайно популярны беспроводные роутеры (маршрутизаторы). Такие устройства способны раздавать сигнал по протоколу Wi-Fi как на стационарные компьютеры, так и на мобильные устройства — смартфоны и планшеты, — при этом пропускной способности канала вполне достаточно для одновременного подключения нескольких потребителей.

Сегодня беспроводной роутер есть практически в любом доме, куда проведён широкополосный интернет. Однако далеко не все владельцы таких устройств задумываются над тем, что при настройках по умолчанию они чрезвычайно уязвимы для злоумышленников. И если вы считаете, что не делаете в интернете ничего такого, что могло бы вам повредить, задумайтесь над тем, что перехватив сигнал локальной беспроводной сети, взломщики могут получить доступ не только к вашей личной переписке, но и к банковскому счёту, служебным документам и любым другим файлам.

Хакеры могут не ограничиться исследованием памяти исключительно ваших собственных устройств — их содержимое может подсказать ключи к сетям вашей компании, ваших близких и знакомых, к данным всевозможных коммерческих и государственных информационных систем. Более того, через вашу сеть и от вашего имени злоумышленники могут проводить массовые атаки, взломы, незаконно распространять медиафайлы и программное обеспечение и заниматься прочей уголовно наказуемой деятельностью.

Между тем, чтобы обезопасить себя от подобных угроз, стоит следовать лишь нескольким простым правилам, которые понятны и доступны даже тем, кто не имеет специальных знаний в области компьютерных сетей. Предлагаем вам ознакомиться с этими правилами.

1. Измените данные администратора по умолчанию

Чтобы получить доступ к настройкам вашего роутера, необходимо зайти в его веб-интерфейс. Для этого вам нужно знать его IP-адрес в локальной сети (LAN), а также логин и пароль администратора.

Внутренний IP-адрес роутера по умолчанию, как правило, имеет вид 192.168.0.1, 192.168.1.1, 192.168.100.1 или, например, 192.168.123.254 — он всегда указан в документации к аппаратуре. Дефолтные логин и пароль обычно также сообщаются в документации, либо их можно узнать у производителя роутера или вашего провайдера услуг.

Вводим IP-адрес роутера в адресную строку браузера, а в появившимся окне вводим логин и пароль. Перед нами откроется веб-интерфейс маршрутизатора с самыми разнообразными настройками.

Ключевой элемент безопасности домашней сети — возможность изменения настроек, поэтому нужно обязательно изменить все данные администратора по умолчанию, ведь они могут использоваться в десятках тысяч экземпляров таких же роутеров, как и у вас. Находим соответствующий пункт и вводим новые данные.

В некоторых случаях возможность произвольного изменения данных администратора заблокирована провайдером услуг, и тогда вам придётся обращаться за помощью к нему.

2. Установите или измените пароли для доступа к локальной сети

Вы будете смеяться, но всё ещё встречаются случаи, когда щедрый обладатель беспроводного роутера организует открытую точку доступа, к которой может подключиться каждый. Гораздо чаще для домашней сети выбираются псевдопароли типа «1234» или какие-то банальные слова, заданные при установке сети. Чтобы минимизировать вероятность того, что кто-то сможет с лёгкостью забраться в вашу сеть, нужно придумать настоящий длинный пароль из букв, цифр и символов, и установить уровень шифрования сигнала — желательно, WPA2.

3. Отключите WPS

Технология WPS (Wi-Fi Protected Setup) позволяет быстро наладить защищённую беспроводную связь между совместимыми устройствами без подробных настроек, а лишь нажатием соответствующих кнопок на роутере и гаджете или путём ввода цифрового кода.

Между тем, у этой удобной системы, обычно включённой по умолчанию, есть одно слабое место: поскольку WPS не учитывает число попыток ввода неправильного кода, она может быть взломана «грубой силой» путём простого перебора с помощью простейших утилит. Потребуется от нескольких минут до нескольких часов, чтобы проникнуть в вашу сеть через код WPS, после чего не составит особого труда вычислить и сетевой пароль.

Поэтому находим в «админке» соответствующий пункт и отключаем WPS. К сожалению, внесение изменений в настройки далеко не всегда действительно отключит WPS, а некоторые производители вообще не предусматривают такой возможности.

4. Измените наименование SSID

Идентификатор SSID (Service Set Identifier) — это название вашей беспроводной сети. Именно его «вспоминают» различные устройства, которые при распознавании названия и наличии необходимых паролей пытаются подключиться к локальной сети. Поэтому если вы сохраните стандартное название, установленное, например, вашим провайдером, то есть вероятность того, что ваши устройства будут пытаться подключиться ко множеству ближайших сетей с тем же самым названием.

Более того, роутер, транслирующий стандартный SSID, более уязвим для хакеров, которые будут примерно знать его модель и обычные настройки, и смогут нанести удар в конкретные слабые места такой конфигурации. Потому выберите как можно более уникальное название, ничего не говорящее ни о провайдере услуг, ни о производителе оборудования.

При этом часто встречающийся совет скрывать трансляцию SSID, а такая опция стандартна для подавляющего большинства роутеров, на самом деле несостоятелен. Дело в том, что все устройства, пытающиеся подключиться к вашей сети, в любом случае будут перебирать ближайшие точки доступа, и могут подключиться к сетям, специально «расставленным» злоумышленниками. Иными словами, скрывая SSID, вы усложняете жизнь только самим себе.

5. Измените IP роутера

Чтобы ещё более затруднить несанкционированный доступ к веб-интерфейсу роутера и его настройкам, измените в них внутренний IP-адрес (LAN) по умолчанию.

6. Отключите удалённое администрирование

Для удобства технической поддержки (в основном) во многих бытовых роутерах реализована функция удалённого администрирования, при помощи которой настройки роутера становятся доступны через интернет. Поэтому, если мы не хотим проникновения извне, эту функцию лучше отключить.

При этом, однако, остаётся возможность зайти в веб-интерфейс через Wi-Fi, если злоумышленник находится в поле действия вашей сети и знает логин и пароль. В некоторых роутерах есть функция ограничить доступ к панели только при наличии проводного подключения, однако, к сожалению, эта опция встречается довольно редко.

7. Обновите микропрограмму

Каждый уважающий себя и клиентов производитель роутеров постоянно совершенствует программное обеспечение своего оборудования и регулярно выпускает обновлённые версии микропрограмм («прошивок»). В свежих версиях прежде всего исправляются обнаруженные уязвимости, а также ошибки, влияющие на стабильность работы.

Именно поэтому мы настоятельно рекомендуем регулярно проверять обновления микропрограмм и устанавливать их на свой роутер. В большинстве случаев это можно сделать непосредственно через веб-интерфейс.

Обратите внимание на то, что после обновления все сделанные вами настройки могут сброситься до заводских, поэтому есть смысл сделать их резервную копию — также через веб-интерфейс.

8. Перейдите в диапазон 5 ГГц

Базовый диапазон работы сетей Wi-Fi — это 2,4 ГГц. Он обеспечивает уверенный приём большинством существующих устройств на расстоянии примерно до 60 м в помещении и до 400 м вне помещения. Переход в диапазон 5 ГГц снизит дальность связи в два-три раза, ограничив для посторонних возможность проникнуть в вашу беспроводную сеть. За счёт меньшей занятости диапазона, вы сможете также заметить повысившуюся скорость передачи данных и стабильность соединения.

Минус у этого решения только один — далеко не все устройства работают c Wi-Fi стандарта IEEE 802.11ac в диапазоне 5 ГГц.

9. Отключите функции PING, Telnet, SSH, UPnP и HNAP

Если вы не знаете, что скрывается за этими аббревиатурами, и не уверены, что эти функции вам обязательно потребуются, найдите их в настройках роутера и отключите. Если есть такая возможность, вместо закрытия портов, выберите скрытый режим (stealth), который при попытках зайти на них извне сделает эти порты «невидимыми», игнорируя запросы и «пинги».

10. Включите брандмауэр роутера

Если в вашем роутере есть встроенный брандмауэр, то рекомендуем его включить. Конечно, это не бастион абсолютной защиты, но в комплексе с программными средствами (даже со встроенным в Windows брандмауэром) он способен вполне достойно сопротивляться атакам.

11. Отключите фильтрацию по MAC-адресам

Хотя на первый взгляд кажется, что возможность подключения к сети только устройств с конкретными MAC-адресами полностью гарантирует безопасность, в действительности это не так. Более того, оно делает сеть открытой даже для не слишком изобретательных хакеров. Если злоумышленник сможет отследить входящие пакеты, то он быстро получит список активных MAC-адресов, поскольку в потоке данных они передаются в незашифрованном виде. А подменить MAC-адрес не проблема даже для непрофессионала.

12. Перейдите на другой DNS-сервер

Вместо использования DNS-сервера вашего провайдера, можно перейти на альтернативные, например, Google Public DNS или OpenDNS. С одной стороны, это может ускорить выдачу интернет-страниц, а с другой, повысить безопасность. К примеру, OpenDNS блокирует вирусы, ботнеты и фишинговые запросы по любому порту, протоколу и приложению, и благодаря специальным алгоритмам на базе Больших Данных способен предсказывать и предотвращать разнообразные угрозы и атаки. При этом Google Public DNS — это просто скоростной DNS-сервер без дополнительных функций.

13. Установите альтернативную «прошивку»

И, наконец, радикальный шаг для того, кто понимает, что делает, — это установка микропрограммы, написанной не производителем вашего роутера, а энтузиастами. Как правило, такие «прошивки» не только расширяют функциональность устройства (обычно добавляются поддержка профессиональных функций вроде QoS, режима моста, SNMP и т.д), но и делают его более устойчивым к уязвимостям — в том числе и за счёт нестандартности.

Среди популярных open-source «прошивок» можно назвать основанные на Linux DD-WRT, OpenWrt и Tomato.

В современном мире, где информационные технологии играют значительную роль в нашей повседневной жизни, безопасность сети становится все более важной. Брандмауэр роутера играет ключевую роль в обеспечении этой безопасности, предотвращая несанкционированный доступ к сети и защищая конфиденциальные данные.

Брандмауэр роутера — это программное или аппаратное обеспечение, которое контролирует и фильтрует входящий и исходящий сетевой трафик. Он служит как первая линия обороны для сети, определяя, какие пакеты данных допускаются и какие блокируются. Брандмауэр может обнаруживать и блокировать различные виды сетевых атак, такие как денай эксплойт, фишинг и другие формы мошенничества.

Без включенного брандмауэра роутера, ваша сеть остается открытой целью для хакеров и злоумышленников. Они могут получить доступ к вашей личной информации, украсть ваши пароли или даже установить вредоносные программы на ваши устройства. Поэтому включение брандмауэра роутера — первый шаг к обеспечению безопасности вашей сети на высоком уровне.

Преимущества включения брандмауэра роутера очевидны. Он не только обеспечивает защиту от сетевых атак, но и позволяет установить строгие правила доступа к сети, блокировать нежелательные сайты или приложения, а также контролировать использование сетевого трафика. Это особенно полезно для родителей, которые хотят защитить детей от неподходящего контента и контролировать их онлайн-активности.

Важность брандмауэра роутера в защите сети

Вмешательство в сетевую инфраструктуру может привести к серьезным последствиям, которые могут повлиять на бизнес и частные лица. Поэтому важно обеспечить безопасность сети на высоком уровне. Один из ключевых инструментов для достижения этой цели — брандмауэр роутера.

Брандмауэр роутера — это программное или аппаратное устройство, установленное между входящей и исходящей сетевой трафиком. Его основная задача — контролировать и фильтровать данный трафик в соответствии с определенными правилами безопасности. Брандмауэр роутера анализирует каждый пакет данных, проходящий через сеть, и принимает решение о его дальнейшей обработке.

Важным аспектом работы брандмауэра роутера является обеспечение защиты от внешних атак, таких как DDoS-атаки, фишинг, взлом или перехват данных. Брандмауэр может блокировать потенциально опасные соединения и уведомлять о попытках несанкционированного доступа.

Кроме того, брандмауэр роутера может контролировать и ограничивать доступ к определенным ресурсам или сервисам в сети. Это позволяет ограничить возможности злоумышленников и предотвратить несанкционированный доступ к конфиденциальной информации.

Итак, брандмауэр роутера играет важную роль в защите сети. Он помогает предотвратить атаки, обеспечивает контроль над сетевым трафиком и ограничивает доступ к определенным ресурсам. Правильная настройка и обновление брандмауэра роутера являются неотъемлемой частью поддержания безопасности сети на высоком уровне.

Защита сети с помощью брандмауэра роутера

Главная задача брандмауэра роутера – фильтровать входящие и исходящие соединения, контролировать доступ к ресурсам и предотвращать несанкционированный доступ к сети. Благодаря брандмауэру, возможные уязвимости сети значительно снижаются, что позволяет минимизировать риски и обеспечить безопасность данных.

Брандмауэр роутера работает на основе правил и политик безопасности, которые определяют, какие типы соединений разрешены, а какие – блокируются. Например, он может блокировать доступ к определенным портам или IP-адресам, а также отслеживать подозрительную активность сети.

Основные преимущества использования брандмауэра роутера:

• Защита от внешних атак и вирусов.
• Ограничение доступа к ресурсам и контроль соединений.
• Предотвращение несанкционированного доступа.
• Анализ сетевой активности и обнаружение аномалий.
• Минимизация рисков и обеспечение безопасности данных.

Важно отметить, что брандмауэр роутера следует регулярно обновлять, чтобы иметь доступ к последним обновлениям и исправлениям уязвимостей. Также рекомендуется настраивать правила и политики безопасности в соответствии с конкретными требованиями сети.

Включение брандмауэра роутера – это одна из основных мер по обеспечению безопасности сети. Он является первой линией защиты от атак и помогает предотвратить проникновение злоумышленников в сеть. Поэтому рекомендуется всегда активировать брандмауэр и регулярно проверять его работоспособность и обновления.

[Брандмауэр] на роутере ASUS — Введение

Что такое Брандмауэр?

Включение брандмауэра обеспечивает защиту Вашей локальной сети и помогает Вам контролировать доступ на различных уровнях, разделяя сеть на разные области. Таким образом, это способствует ограничению доступа к некоторым сетевым службам и защищает Вашу сеть.

Чем отличается брандмауэр на роутере ASUS и на Вашем ноутбуке?

Возьмём в качестве примера изображение ниже.

Брандмауэр на роутере ASUS имеет встроенные правила фильтрации пакетных данных для защиты всего окружения локальной сети. Брандмауэр на Вашем ноутбуке, напротив, позволяет защищать только сам ноутбук.

В роутере имеется возможность настроить некоторые параметры (например, Фильтр URL-адресов, Фильтр ключевых слов, Фильтр сетевых служб, и т.д.), чтобы разрешить или ограничить работу той или иной сетевой службы, что способствует управлению и защите Вашей сети. Напротив, когда устройства, подключённые к локальной сети роутера, обмениваются пакетами между собой, управление ими зависит от работы брандмауэра, установленного на них. Для обеспечения более надёжной защиты сетевого окружения мы рекомендуем Вам запустить брандмауэр и на роутере ASUS, и на Ваших клиентских устройствах.

Войдите в веб-меню роутера ASUS

Шаг 1. Подключите Ваш компьютер к роутеру через кабель или WiFi соединение и введите LAN IP Вашего роутера или URL роутера http://www.asusrouter.com для доступа на страницу настроек WEB GUI.

              

             Подробнее в статье: [Беспроводное устройство] Как войти на страницу настроек роутера (WEB UI)? 

Шаг 2. Введите Ваши имя пользователя и пароль на странице авторизации и нажмите [Войти].

             

Примечание: Если Вы забыли имя пользователя и/или пароль, пожалуйста, выполните сброс настроек роутера к заводским.

          Подробнее в статье: [Беспроводное устройство] Как вернуть роутер ASUS к заводским настройкам? 

Шаг 3. Откройте вкладку [Брандмауэр]

            

Настройки Брандмауэра на роутере ASUS:

Помимо общих настроек (включая Брандмауэр IPv6) фильтрации пакетов, он включает дополнительные настройки, такие как Фильтр URL-адресов, Фильтр ключевых слов, и Фильтр сетевых служб. Можно выполнить настройку различных правил фильтрации доступа к сайтам или сетевым сервисам, в зависимости от Ваших требований.

Вкладка»Общие»:

Когда Вам необходимо защитить от хакеров все клиентские устройства, подключённые к локальной сети роутера ASUS, выполните общие настройки пакетной фильтрации.

Если Вас беспокоят возможные DDoS-атаки на роутер, включите защиту DoS, чтобы отфильтровывать подозрительные и нежелательные пакеты, предотвратив переполнение устройства пакетами.

Примечание: DDoS-атака (Distributed Denial-of-Service) — это распределённая атака типа «отказ в обслуживании», также известная как флуд-атака. Хакеры передают лишние пакеты или запросы, чтобы перегрузить Вашу систему.

(1) Включите брандмауэр: По умолчанию [Да]

(2) Включите защиту DoS (опционально): По умолчанию [Нет]

(3) Тип регистрируемых пакетов: По умолчанию [Нет]

(4) Отвечать на ICMP Echo (пинг)-запросы из WAN: По умолчанию [Нет]

Поменяв настройки, нажмите [Применить].

Брандмауэр для IPv6:

Если у Вас запущен протокол IPv6, можно защитить сетевое окружение и разрешить передачу пакетов с серверов IPv6 в локальной сети. Но для передачи пакетов из внешней сети Вам необходимо настроить правила.

Узнайте подробнее Как настроить IPv6 Firewall, а также Как настроить IPv6.

Фильтр URL-адресов (Белый список/Чёрный список):

Если Вам необходима блокировка всех URL-адресов, содержащих определённые символы, или необходим доступ только к сайтам, URL-адреса которых не содержат определённых символов, используйте Фильтр URL-адресов.

Подробнее в статье: [Брандмауэр] Как настроить фильтр URL-адресов? 

Фильтр Ключевых слов:

Если Вам необходимо запретить своим устройствам доступ к веб-сайтам, содержащим определённые ключевые слова, используйте фильтр Ключевых слов. По окончании настройки любые ключевые слова, занесённые в фильтр, не будут отображаться в результатах поиска.

Подробнее в статье: [Брандмауэр] Как настроить фильтр Ключевых слов? 

Фильтр сетевых служб:

Если Вам необходимо запретить пакетную передачу данных между внутренней и внешней сетями и разрешить всем устройствам использовать только отдельные сетевые службы (Internet service, FTP, и т.д.), используйте Фильтр сетевых служб. Основная разница между этим фильтром и двумя предыдущими заключается в том, что отдельные устройства можно настроить для использования разных сетевых служб. 

Подробнее в статье: [Брандмауэр] Как настроить фильтр Сетевых служб?

Часто задаваемые вопросы

1.Как проверить, достаточно ли роутер защищён?

• Узнайте подробнее в статье: [Беспроводное устройство] Как сделать роутер более безопасным? 

2. Почему в режиме точки доступа (AP) Брандмауэр не работает?

• В режиме точки доступа (AP), все клиентские устройства получают IP-адреса от главного роутера/модема. В режиме точки доступа роутер не поддерживает функцию IP sharing (разделения IP), из-за этого нельзя управлять подключёнными к нему клиентскими устройствами.

  Подробнее в статье: [Беспроводное устройство] Обзор режимов работы.

Как найти (Утилиту / Прошивку)?

Последние версии драйверов, программного обеспечения, прошивок и руководства пользователя можно скачать в Центре загрузок ASUS.

Чтобы получить подробную информацию о Центре загрузок ASUS, воспользуйтесь ссылкой.

У меня есть маршрутизатор, нужен ли мне брандмауэр Windows?

Существует два типа брандмауэров: аппаратные брандмауэры и программные брандмауэры. Ваш маршрутизатор функционирует как аппаратный брандмауэр, в то время как Windows включает в себя программный брандмауэр. Есть и другие сторонние брандмауэры, которые вы можете установить.

В августе 2003 года, если вы подключили незашифрованную систему Windows XP к Интернету без брандмауэра, он мог быть заражен в течение нескольких минут червем Blaster, который использовал уязвимости в сетевых службах, которые Windows XP открыла в Интернете.

В дополнение к демонстрации важности установки патчей безопасности это демонстрирует важность использования брандмауэра, который предотвращает доступ входящего сетевого трафика к вашему компьютеру. Но если ваш компьютер находится за маршрутизатором, действительно ли вам нужен программный брандмауэр?

Как маршрутизаторы функционируют в виде аппаратных брандмауэров

Домашние маршрутизаторы используют преобразование сетевых адресов (NAT) для совместного использования одного IP-адреса из вашего интернет-сервиса между несколькими компьютерами в вашей семье. Когда входящий трафик из Интернета достигает вашего маршрутизатора, ваш маршрутизатор не знает, к какому компьютеру пересылать его, поэтому он отбрасывает трафик. Фактически NAT действует как брандмауэр, который предотвращает доступ входящих запросов к вашему компьютеру. В зависимости от вашего маршрутизатора вы также можете блокировать определенные типы исходящего трафика, изменяя настройки вашего маршрутизатора.

Вы можете перенаправить маршрутизатор на какой-то трафик, настроив переадресацию портов или поместив компьютер в DMZ (демилитаризованная зона), куда направляется весь входящий трафик. DMZ, по сути, перенаправляет весь трафик на конкретный компьютер — компьютер больше не будет использовать маршрутизатор, действующий как межсетевой экран.

Как работают программные брандмауэры

На вашем компьютере работает программный брандмауэр. Он действует как привратник, позволяя осуществлять некоторый трафик и отбрасывать входящий трафик. Сама Windows включает встроенный программный брандмауэр, который по умолчанию был включен в Windows XP с пакетом обновления 2 (SP2). Поскольку программные брандмауэры запускаются на вашем компьютере, они могут контролировать, какие приложения хотят использовать Интернет, блокировать и разрешать трафик для каждого приложения.

Если вы подключаете свой компьютер непосредственно к Интернету, важно использовать программный брандмауэр — вам не стоит беспокоиться об этом сейчас, когда брандмауэр поставляется с Windows по умолчанию.

Аппаратный и программный брандмауэр: сравнение

Брандмауэры аппаратного и программного обеспечения перекрываются несколькими важными способами:

• Оба по умолчанию блокируют нежелательный входящий трафик, защищая потенциально уязвимые сетевые службы от дикого Интернета.
• Оба могут блокировать определенные типы исходящего трафика. (Хотя эта функция может отсутствовать на некоторых маршрутизаторах.)

Преимущества программного брандмауэра:

• Аппаратный брандмауэр находится между вашим компьютером и Интернетом, а программный брандмауэр находится между вашим компьютером и сетью. Если другие компьютеры в сети заражаются, программный брандмауэр может защитить ваш компьютер от них.
• Программные брандмауэры позволяют вам легко контролировать доступ к сети для каждого приложения. В дополнение к управлению входящим трафиком, программный брандмауэр может запросить вас, когда приложение на вашем компьютере хочет подключиться к Интернету и позволит вам запретить приложению подключаться к сети. Эта функция проста в использовании с сторонним брандмауэром, но вы также можете запретить приложениям подключаться к Интернету с брандмауэром Windows .

Преимущества аппаратного брандмауэра:

• Аппаратный брандмауэр находится отдельно от вашего компьютера — если ваш компьютер заражен червем, этот червь может отключить ваш программный брандмауэр. Однако этот червь не может отключить ваш аппаратный брандмауэр.
• Брандмауэры оборудования могут обеспечивать централизованное управление сетью. Если вы запустите большую сеть, вы можете легко настроить настройки брандмауэра с одного устройства. Это также мешает пользователям изменять их на своих компьютерах.

Вам нужны оба?

Важно использовать по крайней мере один тип брандмауэра — аппаратный брандмауэр (например, маршрутизатор) или программный брандмауэр. Маршрутизаторы и программные брандмауэры частично перекрываются, но каждый из них предоставляет уникальные преимущества.

Если у вас уже есть маршрутизатор, оставляя включенным брандмауэр Windows, вы получаете преимущества безопасности без реальной стоимости исполнения. Поэтому неплохо запустить оба.

Вам необязательно устанавливать сторонний программный брандмауэр, который заменяет встроенный брандмауэр Windows, но вы можете, если хотите больше функций.

Источник

Как настроить домашний роутер, чтобы сделать сеть безопасной

C распространением широкополосного доступа в интернет и карманных гаджетов стали чрезвычайно популярны беспроводные роутеры (маршрутизаторы). Такие устройства способны раздавать сигнал по протоколу Wi-Fi как на стационарные компьютеры, так и на мобильные устройства — смартфоны и планшеты, — при этом пропускной способности канала вполне достаточно для одновременного подключения нескольких потребителей.

Сегодня беспроводной роутер есть практически в любом доме, куда проведён широкополосный интернет. Однако далеко не все владельцы таких устройств задумываются над тем, что при настройках по умолчанию они чрезвычайно уязвимы для злоумышленников. И если вы считаете, что не делаете в интернете ничего такого, что могло бы вам повредить, задумайтесь над тем, что перехватив сигнал локальной беспроводной сети, взломщики могут получить доступ не только к вашей личной переписке, но и к банковскому счёту, служебным документам и любым другим файлам.

Хакеры могут не ограничиться исследованием памяти исключительно ваших собственных устройств — их содержимое может подсказать ключи к сетям вашей компании, ваших близких и знакомых, к данным всевозможных коммерческих и государственных информационных систем. Более того, через вашу сеть и от вашего имени злоумышленники могут проводить массовые атаки, взломы, незаконно распространять медиафайлы и программное обеспечение и заниматься прочей уголовно наказуемой деятельностью.

Между тем, чтобы обезопасить себя от подобных угроз, стоит следовать лишь нескольким простым правилам, которые понятны и доступны даже тем, кто не имеет специальных знаний в области компьютерных сетей. Предлагаем вам ознакомиться с этими правилами.

1. Измените данные администратора по умолчанию

Чтобы получить доступ к настройкам вашего роутера, необходимо зайти в его веб-интерфейс. Для этого вам нужно знать его IP-адрес в локальной сети (LAN), а также логин и пароль администратора.

Внутренний IP-адрес роутера по умолчанию, как правило, имеет вид 192.168.0.1, 192.168.1.1, 192.168.100.1 или, например, 192.168.123.254 — он всегда указан в документации к аппаратуре. Дефолтные логин и пароль обычно также сообщаются в документации, либо их можно узнать у производителя роутера или вашего провайдера услуг.

Вводим IP-адрес роутера в адресную строку браузера, а в появившимся окне вводим логин и пароль. Перед нами откроется веб-интерфейс маршрутизатора с самыми разнообразными настройками.

Ключевой элемент безопасности домашней сети — возможность изменения настроек, поэтому нужно обязательно изменить все данные администратора по умолчанию, ведь они могут использоваться в десятках тысяч экземпляров таких же роутеров, как и у вас. Находим соответствующий пункт и вводим новые данные.

В некоторых случаях возможность произвольного изменения данных администратора заблокирована провайдером услуг, и тогда вам придётся обращаться за помощью к нему.

2. Установите или измените пароли для доступа к локальной сети

Вы будете смеяться, но всё ещё встречаются случаи, когда щедрый обладатель беспроводного роутера организует открытую точку доступа, к которой может подключиться каждый. Гораздо чаще для домашней сети выбираются псевдопароли типа «1234» или какие-то банальные слова, заданные при установке сети. Чтобы минимизировать вероятность того, что кто-то сможет с лёгкостью забраться в вашу сеть, нужно придумать настоящий длинный пароль из букв, цифр и символов, и установить уровень шифрования сигнала — желательно, WPA2.

3. Отключите WPS

Технология WPS (Wi-Fi Protected Setup) позволяет быстро наладить защищённую беспроводную связь между совместимыми устройствами без подробных настроек, а лишь нажатием соответствующих кнопок на роутере и гаджете или путём ввода цифрового кода.

Между тем, у этой удобной системы, обычно включённой по умолчанию, есть одно слабое место: поскольку WPS не учитывает число попыток ввода неправильного кода, она может быть взломана «грубой силой» путём простого перебора с помощью простейших утилит. Потребуется от нескольких минут до нескольких часов, чтобы проникнуть в вашу сеть через код WPS, после чего не составит особого труда вычислить и сетевой пароль.

Поэтому находим в «админке» соответствующий пункт и отключаем WPS. К сожалению, внесение изменений в настройки далеко не всегда действительно отключит WPS, а некоторые производители вообще не предусматривают такой возможности.

4. Измените наименование SSID

Идентификатор SSID (Service Set Identifier) — это название вашей беспроводной сети. Именно его «вспоминают» различные устройства, которые при распознавании названия и наличии необходимых паролей пытаются подключиться к локальной сети. Поэтому если вы сохраните стандартное название, установленное, например, вашим провайдером, то есть вероятность того, что ваши устройства будут пытаться подключиться ко множеству ближайших сетей с тем же самым названием.

Более того, роутер, транслирующий стандартный SSID, более уязвим для хакеров, которые будут примерно знать его модель и обычные настройки, и смогут нанести удар в конкретные слабые места такой конфигурации. Потому выберите как можно более уникальное название, ничего не говорящее ни о провайдере услуг, ни о производителе оборудования.

При этом часто встречающийся совет скрывать трансляцию SSID, а такая опция стандартна для подавляющего большинства роутеров, на самом деле несостоятелен. Дело в том, что все устройства, пытающиеся подключиться к вашей сети, в любом случае будут перебирать ближайшие точки доступа, и могут подключиться к сетям, специально «расставленным» злоумышленниками. Иными словами, скрывая SSID, вы усложняете жизнь только самим себе.

5. Измените IP роутера

Чтобы ещё более затруднить несанкционированный доступ к веб-интерфейсу роутера и его настройкам, измените в них внутренний IP-адрес (LAN) по умолчанию.

6. Отключите удалённое администрирование

Для удобства технической поддержки (в основном) во многих бытовых роутерах реализована функция удалённого администрирования, при помощи которой настройки роутера становятся доступны через интернет. Поэтому, если мы не хотим проникновения извне, эту функцию лучше отключить.

При этом, однако, остаётся возможность зайти в веб-интерфейс через Wi-Fi, если злоумышленник находится в поле действия вашей сети и знает логин и пароль. В некоторых роутерах есть функция ограничить доступ к панели только при наличии проводного подключения, однако, к сожалению, эта опция встречается довольно редко.

7. Обновите микропрограмму

Каждый уважающий себя и клиентов производитель роутеров постоянно совершенствует программное обеспечение своего оборудования и регулярно выпускает обновлённые версии микропрограмм («прошивок»). В свежих версиях прежде всего исправляются обнаруженные уязвимости, а также ошибки, влияющие на стабильность работы.

Именно поэтому мы настоятельно рекомендуем регулярно проверять обновления микропрограмм и устанавливать их на свой роутер. В большинстве случаев это можно сделать непосредственно через веб-интерфейс.

Обратите внимание на то, что после обновления все сделанные вами настройки могут сброситься до заводских, поэтому есть смысл сделать их резервную копию — также через веб-интерфейс.

8. Перейдите в диапазон 5 ГГц

Базовый диапазон работы сетей Wi-Fi — это 2,4 ГГц. Он обеспечивает уверенный приём большинством существующих устройств на расстоянии примерно до 60 м в помещении и до 400 м вне помещения. Переход в диапазон 5 ГГц снизит дальность связи в два-три раза, ограничив для посторонних возможность проникнуть в вашу беспроводную сеть. За счёт меньшей занятости диапазона, вы сможете также заметить повысившуюся скорость передачи данных и стабильность соединения.

Минус у этого решения только один — далеко не все устройства работают c Wi-Fi стандарта IEEE 802.11ac в диапазоне 5 ГГц.

9. Отключите функции PING, Telnet, SSH, UPnP и HNAP

Если вы не знаете, что скрывается за этими аббревиатурами, и не уверены, что эти функции вам обязательно потребуются, найдите их в настройках роутера и отключите. Если есть такая возможность, вместо закрытия портов, выберите скрытый режим (stealth), который при попытках зайти на них извне сделает эти порты «невидимыми», игнорируя запросы и «пинги».

10. Включите брандмауэр роутера

Если в вашем роутере есть встроенный брандмауэр, то рекомендуем его включить. Конечно, это не бастион абсолютной защиты, но в комплексе с программными средствами (даже со встроенным в Windows брандмауэром) он способен вполне достойно сопротивляться атакам.

11. Отключите фильтрацию по MAC-адресам

Хотя на первый взгляд кажется, что возможность подключения к сети только устройств с конкретными MAC-адресами полностью гарантирует безопасность, в действительности это не так. Более того, оно делает сеть открытой даже для не слишком изобретательных хакеров. Если злоумышленник сможет отследить входящие пакеты, то он быстро получит список активных MAC-адресов, поскольку в потоке данных они передаются в незашифрованном виде. А подменить MAC-адрес не проблема даже для непрофессионала.

12. Перейдите на другой DNS-сервер

Вместо использования DNS-сервера вашего провайдера, можно перейти на альтернативные, например, Google Public DNS или OpenDNS. С одной стороны, это может ускорить выдачу интернет-страниц, а с другой, повысить безопасность. К примеру, OpenDNS блокирует вирусы, ботнеты и фишинговые запросы по любому порту, протоколу и приложению, и благодаря специальным алгоритмам на базе Больших Данных способен предсказывать и предотвращать разнообразные угрозы и атаки. При этом Google Public DNS — это просто скоростной DNS-сервер без дополнительных функций.

13. Установите альтернативную «прошивку»

И, наконец, радикальный шаг для того, кто понимает, что делает, — это установка микропрограммы, написанной не производителем вашего роутера, а энтузиастами. Как правило, такие «прошивки» не только расширяют функциональность устройства (обычно добавляются поддержка профессиональных функций вроде QoS, режима моста, SNMP и т.д), но и делают его более устойчивым к уязвимостям — в том числе и за счёт нестандартности.

Среди популярных open-source «прошивок» можно назвать основанные на Linux DD-WRT, OpenWrt и Tomato.

Источник