Независимый исследователь Девид Лонжнекер (David Longenecker) обнаружил очень простую и очень неприятную уязвимость в маршрутизаторах компании Asus, работающих на базе прошивки ASUSWRT. «Благодаря» проблемам в интерфейсе, панель администратора доступна удаленно всем желающим.
По оценкам исследователя, проблема затрагивает порядка 140 000 роутеров Asus. Большая их часть «светит» админкой в интернете через HTTP, и еще около 15 000 устройств доступны через HTTPS. От бага страдают все роутеры, работающие под управлением прошивки ASUSWRT, то есть все, в названии которых присутствуют буквы RT.
Баг, судя по всему, является обычной мелкой халатностью разработчиков. Обычно, чтобы запретить удаленный доступ к панели администратора, в настройках устройства нужно найти опцию «Enable Web Access from WAN», и выбрать вариант «No». Однако роутеры Asus поставляются со встроенным брандмауэром, для активации которого в настройках есть пункт «Enable Firewall».
Лонжнекер обнаружил, что если встроенный файерволл отключить, выбрав «No», это по какой-то причине отменяет также и запрет «Enable Web Access from WAN». То есть, если пользователь отключил брандмауэр, уже не важно, включена опция «Enable Web Access from WAN» или нет. Она отключается в любом случае.
Исследователь уже уведомил Asus об ошибке, и компания готовит новую версию прошивки, исправляющую баг. А пока патч не вышел, всем пользователям рекомендуется проверить, включен ли файервол на их устройстве.
С техническими деталями отчета Лонжнекера можно ознакомиться здесь.
Данная компания выпускает достаточно неплохие маршрутизаторы, который входят в топ самых популярных в России и странах СНГ. Роутеры хорошо ведут себя как в небольшом помещении, не конфликтуя с соседскими беспроводными сетями, так и отлично проявляются при покрытии большой территории загородного дома или офиса.
Настройки достаточно простые, так как прошивка предназначена для неопытного пользователя. Сегодня я расскажу, как быстро и правильно настроить роутер компании ASUS. Сейчас операционная система у всех аппаратов одинаковая, так что данная инструкция подойдёт для всех моделей. А настроить как интернет, так и вайфай вы сможете с любого компьютера с ОС – Windows 7, 8, 10 и iOS.
Как подключить маршрутизатор
Сначала нам надо настроить роутер, для этого лучше всего использовать проводное подключение. В коробке будет стандартный сетевой провод. Один конец воткните в разъём на ноуте или компе (там всего один такой порт – не перепутаете). А второй конец в любой из LAN-портов. Они имеют жёлтый цвет. На некоторых моделях цвета одинаковые, но сверху порта есть циферка, вот где она есть – туда можно вставлять кабель.
Как подключиться по Wi-Fi с телефона
Тут всё зависит от модели роутера. Самым лучшим и быстрым вариантом будет подключиться по WPS.
Нажимаем эту кнопку на роутере. Она находится на задней панели где порты.
Теперь ищем новую беспроводную сеть. Она будет иметь имя модели роутера АСУС – по умолчанию.
Заходим в админку
Вписываем в любом браузере адрес – http://router.asus.com . Если адрес не подходит, попробуйте стандартные IP адреса роутеров ASUS – 192.168.1.1 или 192.168.0.1 .
На новых моделях, при первой настройке пароль не запрашивается. У старых по стандарту логин и пароль имеют значение «admin».
Если пароль не подходит, то скорее всего ранее им кто-то пользовался. Сбросьте конфиг до заводских настроек. Для этого найдите кнопку или разъем сзади с надписью RESET или СБРОС. Зажмите её на 15 секунд, пока индикаторы не начнут мигать. Далее придётся подождать минуты 2-3 пока роутер перезапишет заводские конфигурации.
Быстрая настройка роутера ASUS
Если режим быстрой настройки не включился при первом запуске, нажмите на самую первую кнопку в левом верхнем меню «Быстрая настройка».
Сначала вас попросят ввести новый пароль от этого Web-интерфейса. Укажите тот, который не забудете.
Итак, в главном меню перейдите в раздел «Беспроводная сеть».
Детальная настройка и улучшения связи Wi-Fi
ВНИМАНИЕ! Данные инструкции предназначены, только тем людям, у кого есть проблемы со связью, интернет плохо ловит или есть обрывы, отключения. Если у вас всё хорошо, то, возможно, вы сделаете хуже, пытаясь улучшить данными методами.
В разделе «Беспроводная сеть» перейдите во вкладку «Профессионально».
Если у вас маленькая квартира, и вам большой диапазон не нужен, установите в «Частотный диапазон» – 5 ГГц. Но помните, что данный тип подключения быстрее затухает, но имеет более высокую скорость и чистые каналы.
Для 2,4 поставьте на вкладке «Общие» в поле «Каналы» самый последний канал. Включите «Режим беспроводной сети» в «N» формат.
Для общих рекомендаций – установите антенны под углом 45 градусов. Если их три или более, то центральные надо установить под углом 90, а боковые под 45 градусов. Уберите микроволновые печи, радиоприемники, телефоны, которые излучают радиоволны. Установите аппарат так, чтобы на пути следования волны было как можно меньше препятствий. Железо и зеркала полностью убивают волну.
Карта сети
При заходе в админку будет отображаться вот такое окошко, где представлена вся необходимая информация для быстрого реагирования.
Гостевая сеть
В целом – это полезная вещь, разделить группу пользователей на несколько локальных беспроводных сетей. Заходим в раздел «Гостевая сеть». Там будет присутствовать по одной сети в каждом диапазоне. Если нажать кнопку «Включить», то она добавится ещё одна есть. Нажав на неё, вы сможете внести конфигурации:
Имя сети (SSID).
Метод проверки подлинности – ставьте WPA2-Personal.
Ключ как пароль для доступа
В конце можно указать время для доступа к интернету.
Родительский контроль
Здесь можно установить время использования интернета, а также защитить своё чадо от вредоносных взрослых сайтов.
Данный раздел находится сразу в левом меню или во вкладке «AirProtection». Включите режим бегунком.
Данная функция есть не на всех моделях роутеров. Для просмотра истории сайтов, на которые заходят клиенты, надо зайти в раздел «Адаптивная QOS» и далее «Веб-история» Если нажать на кнопку обновить, список обнулится. Очень полезная функция как дома, чтобы следить куда заходят дети, так и в офисе, чтобы бухгалтерия не засиживалась в «Одноклассниках» или «ВКонтакте».
Заблокировать пользователя в Wi-Fi, настройка доступа
Блокировка сайтов
Обновление прошивки
Во втором разделе «Дополнительные настройки» переходим в «Администрирование».
Видео инструкция
C распространением широкополосного доступа в интернет и карманных гаджетов стали чрезвычайно популярны беспроводные роутеры (маршрутизаторы). Такие устройства способны раздавать сигнал по протоколу Wi-Fi как на стационарные компьютеры, так и на мобильные устройства – смартфоны и планшеты, – при этом пропускной способности канала вполне достаточно для одновременного подключения нескольких потребителей.
Сегодня беспроводной роутер есть практически в любом доме, куда проведён широкополосный интернет. Однако далеко не все владельцы таких устройств задумываются над тем, что при настройках по умолчанию они чрезвычайно уязвимы для злоумышленников. И если вы считаете, что не делаете в интернете ничего такого, что могло бы вам повредить, задумайтесь над тем, что перехватив сигнал локальной беспроводной сети, взломщики могут получить доступ не только к вашей личной переписке, но и к банковскому счёту, служебным документам и любым другим файлам.
Хакеры могут не ограничиться исследованием памяти исключительно ваших собственных устройств – их содержимое может подсказать ключи к сетям вашей компании, ваших близких и знакомых, к данным всевозможных коммерческих и государственных информационных систем. Более того, через вашу сеть и от вашего имени злоумышленники могут проводить массовые атаки, взломы, незаконно распространять медиафайлы и программное обеспечение и заниматься прочей уголовно наказуемой деятельностью.
Между тем, чтобы обезопасить себя от подобных угроз, стоит следовать лишь нескольким простым правилам, которые понятны и доступны даже тем, кто не имеет специальных знаний в области компьютерных сетей. Предлагаем вам ознакомиться с этими правилами.
1. Измените данные администратора по умолчанию
Чтобы получить доступ к настройкам вашего роутера, необходимо зайти в его веб-интерфейс. Для этого вам нужно знать его IP-адрес в локальной сети (LAN), а также логин и пароль администратора.
Внутренний IP-адрес роутера по умолчанию, как правило, имеет вид 192.168.0.1, 192.168.1.1, 192.168.100.1 или, например, 192.168.123.254 – он всегда указан в документации к аппаратуре. Дефолтные логин и пароль обычно также сообщаются в документации, либо их можно узнать у производителя роутера или вашего провайдера услуг.
Вводим IP-адрес роутера в адресную строку браузера, а в появившимся окне вводим логин и пароль. Перед нами откроется веб-интерфейс маршрутизатора с самыми разнообразными настройками.
Ключевой элемент безопасности домашней сети – возможность изменения настроек, поэтому нужно обязательно изменить все данные администратора по умолчанию, ведь они могут использоваться в десятках тысяч экземпляров таких же роутеров, как и у вас. Находим соответствующий пункт и вводим новые данные.
В некоторых случаях возможность произвольного изменения данных администратора заблокирована провайдером услуг, и тогда вам придётся обращаться за помощью к нему.
2. Установите или измените пароли для доступа к локальной сети
Вы будете смеяться, но всё ещё встречаются случаи, когда щедрый обладатель беспроводного роутера организует открытую точку доступа, к которой может подключиться каждый. Гораздо чаще для домашней сети выбираются псевдопароли типа «1234» или какие-то банальные слова, заданные при установке сети. Чтобы минимизировать вероятность того, что кто-то сможет с лёгкостью забраться в вашу сеть, нужно придумать настоящий длинный пароль из букв, цифр и символов, и установить уровень шифрования сигнала – желательно, WPA2.
3. Отключите WPS
Технология WPS (Wi-Fi Protected Setup) позволяет быстро наладить защищённую беспроводную связь между совместимыми устройствами без подробных настроек, а лишь нажатием соответствующих кнопок на роутере и гаджете или путём ввода цифрового кода.
Между тем, у этой удобной системы, обычно включённой по умолчанию, есть одно слабое место: поскольку WPS не учитывает число попыток ввода неправильного кода, она может быть взломана «грубой силой» путём простого перебора с помощью простейших утилит. Потребуется от нескольких минут до нескольких часов, чтобы проникнуть в вашу сеть через код WPS, после чего не составит особого труда вычислить и сетевой пароль.
Поэтому находим в «админке» соответствующий пункт и отключаем WPS. К сожалению, внесение изменений в настройки далеко не всегда действительно отключит WPS, а некоторые производители вообще не предусматривают такой возможности.
4. Измените наименование SSID
Идентификатор SSID (Service Set Identifier) – это название вашей беспроводной сети. Именно его «вспоминают» различные устройства, которые при распознавании названия и наличии необходимых паролей пытаются подключиться к локальной сети. Поэтому если вы сохраните стандартное название, установленное, например, вашим провайдером, то есть вероятность того, что ваши устройства будут пытаться подключиться ко множеству ближайших сетей с тем же самым названием.
Более того, роутер, транслирующий стандартный SSID, более уязвим для хакеров, которые будут примерно знать его модель и обычные настройки, и смогут нанести удар в конкретные слабые места такой конфигурации. Потому выберите как можно более уникальное название, ничего не говорящее ни о провайдере услуг, ни о производителе оборудования.
При этом часто встречающийся совет скрывать трансляцию SSID, а такая опция стандартна для подавляющего большинства роутеров, на самом деле несостоятелен. Дело в том, что все устройства, пытающиеся подключиться к вашей сети, в любом случае будут перебирать ближайшие точки доступа, и могут подключиться к сетям, специально «расставленным» злоумышленниками. Иными словами, скрывая SSID, вы усложняете жизнь только самим себе.
5. Измените IP роутера
Чтобы ещё более затруднить несанкционированный доступ к веб-интерфейсу роутера и его настройкам, измените в них внутренний IP-адрес (LAN) по умолчанию.
6. Отключите удалённое администрирование
Для удобства технической поддержки (в основном) во многих бытовых роутерах реализована функция удалённого администрирования, при помощи которой настройки роутера становятся доступны через интернет. Поэтому, если мы не хотим проникновения извне, эту функцию лучше отключить.
При этом, однако, остаётся возможность зайти в веб-интерфейс через Wi-Fi, если злоумышленник находится в поле действия вашей сети и знает логин и пароль. В некоторых роутерах есть функция ограничить доступ к панели только при наличии проводного подключения, однако, к сожалению, эта опция встречается довольно редко.
7. Обновите микропрограмму
Каждый уважающий себя и клиентов производитель роутеров постоянно совершенствует программное обеспечение своего оборудования и регулярно выпускает обновлённые версии микропрограмм («прошивок»). В свежих версиях прежде всего исправляются обнаруженные уязвимости, а также ошибки, влияющие на стабильность работы.
Именно поэтому мы настоятельно рекомендуем регулярно проверять обновления микропрограмм и устанавливать их на свой роутер. В большинстве случаев это можно сделать непосредственно через веб-интерфейс.
Обратите внимание на то, что после обновления все сделанные вами настройки могут сброситься до заводских, поэтому есть смысл сделать их резервную копию – также через веб-интерфейс.
8. Перейдите в диапазон 5 ГГц
Базовый диапазон работы сетей Wi-Fi – это 2,4 ГГц. Он обеспечивает уверенный приём большинством существующих устройств на расстоянии примерно до 60 м в помещении и до 400 м вне помещения. Переход в диапазон 5 ГГц снизит дальность связи в два-три раза, ограничив для посторонних возможность проникнуть в вашу беспроводную сеть. За счёт меньшей занятости диапазона, вы сможете также заметить повысившуюся скорость передачи данных и стабильность соединения.
Минус у этого решения только один – далеко не все устройства работают c Wi-Fi стандарта IEEE 802.11ac в диапазоне 5 ГГц.
9. Отключите функции PING, Telnet, SSH, UPnP и HNAP
Если вы не знаете, что скрывается за этими аббревиатурами, и не уверены, что эти функции вам обязательно потребуются, найдите их в настройках роутера и отключите. Если есть такая возможность, вместо закрытия портов, выберите скрытый режим (stealth), который при попытках зайти на них извне сделает эти порты «невидимыми», игнорируя запросы и «пинги».
10. Включите брандмауэр роутера
Если в вашем роутере есть встроенный брандмауэр, то рекомендуем его включить. Конечно, это не бастион абсолютной защиты, но в комплексе с программными средствами (даже со встроенным в Windows брандмауэром) он способен вполне достойно сопротивляться атакам.
11. Отключите фильтрацию по MAC-адресам
Хотя на первый взгляд кажется, что возможность подключения к сети только устройств с конкретными MAC-адресами полностью гарантирует безопасность, в действительности это не так. Более того, оно делает сеть открытой даже для не слишком изобретательных хакеров. Если злоумышленник сможет отследить входящие пакеты, то он быстро получит список активных MAC-адресов, поскольку в потоке данных они передаются в незашифрованном виде. А подменить MAC-адрес не проблема даже для непрофессионала.
12. Перейдите на другой DNS-сервер
Вместо использования DNS-сервера вашего провайдера, можно перейти на альтернативные, например, Google Public DNS или OpenDNS. С одной стороны, это может ускорить выдачу интернет-страниц, а с другой, повысить безопасность. К примеру, OpenDNS блокирует вирусы, ботнеты и фишинговые запросы по любому порту, протоколу и приложению, и благодаря специальным алгоритмам на базе Больших Данных способен предсказывать и предотвращать разнообразные угрозы и атаки. При этом Google Public DNS – это просто скоростной DNS-сервер без дополнительных функций.
13. Установите альтернативную «прошивку»
И, наконец, радикальный шаг для того, кто понимает, что делает, – это установка микропрограммы, написанной не производителем вашего роутера, а энтузиастами. Как правило, такие «прошивки» не только расширяют функциональность устройства (обычно добавляются поддержка профессиональных функций вроде QoS, режима моста, SNMP и т.д), но и делают его более устойчивым к уязвимостям – в том числе и за счёт нестандартности.
Среди популярных open-source «прошивок» можно назвать основанные на Linux DD-WRT, OpenWrt и Tomato.
Независимый исследователь Девид Лонжнекер (David Longenecker) обнаружил очень простую и очень неприятную уязвимость в маршрутизаторах компании Asus, работающих на базе прошивки ASUSWRT. «Благодаря» проблемам в интерфейсе, панель администратора доступна удаленно всем желающим.
По оценкам исследователя, проблема затрагивает порядка 140 000 роутеров Asus. Большая их часть «светит» админкой в интернете через HTTP, и еще около 15 000 устройств доступны через HTTPS. От бага страдают все роутеры, работающие под управлением прошивки ASUSWRT, то есть все, в названии которых присутствуют буквы RT.
Баг, судя по всему, является обычной мелкой халатностью разработчиков. Обычно, чтобы запретить удаленный доступ к панели администратора, в настройках устройства нужно найти опцию «Enable Web Access from WAN», и выбрать вариант «No». Однако роутеры Asus поставляются со встроенным брандмауэром, для активации которого в настройках есть пункт «Enable Firewall».
Лонжнекер обнаружил, что если встроенный файерволл отключить, выбрав «No», это по какой-то причине отменяет также и запрет «Enable Web Access from WAN». То есть, если пользователь отключил брандмауэр, уже не важно, включена опция «Enable Web Access from WAN» или нет. Она отключается в любом случае.
Исследователь уже уведомил Asus об ошибке, и компания готовит новую версию прошивки, исправляющую баг. А пока патч не вышел, всем пользователям рекомендуется проверить, включен ли файервол на их устройстве.
С техническими деталями отчета Лонжнекера можно ознакомиться здесь.
Данная компания выпускает достаточно неплохие маршрутизаторы, который входят в топ самых популярных в России и странах СНГ. Роутеры хорошо ведут себя как в небольшом помещении, не конфликтуя с соседскими беспроводными сетями, так и отлично проявляются при покрытии большой территории загородного дома или офиса.
Настройки достаточно простые, так как прошивка предназначена для неопытного пользователя. Сегодня я расскажу, как быстро и правильно настроить роутер компании ASUS. Сейчас операционная система у всех аппаратов одинаковая, так что данная инструкция подойдёт для всех моделей. А настроить как интернет, так и вайфай вы сможете с любого компьютера с ОС – Windows 7, 8, 10 и iOS.
Как подключить маршрутизатор
Сначала нам надо настроить роутер, для этого лучше всего использовать проводное подключение. В коробке будет стандартный сетевой провод. Один конец воткните в разъём на ноуте или компе (там всего один такой порт – не перепутаете). А второй конец в любой из LAN-портов. Они имеют жёлтый цвет. На некоторых моделях цвета одинаковые, но сверху порта есть циферка, вот где она есть – туда можно вставлять кабель.
Как подключиться по Wi-Fi с телефона
Тут всё зависит от модели роутера. Самым лучшим и быстрым вариантом будет подключиться по WPS.
Нажимаем эту кнопку на роутере. Она находится на задней панели где порты.
Теперь ищем новую беспроводную сеть. Она будет иметь имя модели роутера АСУС – по умолчанию.
Заходим в админку
Вписываем в любом браузере адрес – http://router.asus.com . Если адрес не подходит, попробуйте стандартные IP адреса роутеров ASUS – 192.168.1.1 или 192.168.0.1 .
На новых моделях, при первой настройке пароль не запрашивается. У старых по стандарту логин и пароль имеют значение «admin».
Если пароль не подходит, то скорее всего ранее им кто-то пользовался. Сбросьте конфиг до заводских настроек. Для этого найдите кнопку или разъем сзади с надписью RESET или СБРОС. Зажмите её на 15 секунд, пока индикаторы не начнут мигать. Далее придётся подождать минуты 2-3 пока роутер перезапишет заводские конфигурации.
Быстрая настройка роутера ASUS
Если режим быстрой настройки не включился при первом запуске, нажмите на самую первую кнопку в левом верхнем меню «Быстрая настройка».
Сначала вас попросят ввести новый пароль от этого Web-интерфейса. Укажите тот, который не забудете.
Итак, в главном меню перейдите в раздел «Беспроводная сеть».
Детальная настройка и улучшения связи Wi-Fi
ВНИМАНИЕ! Данные инструкции предназначены, только тем людям, у кого есть проблемы со связью, интернет плохо ловит или есть обрывы, отключения. Если у вас всё хорошо, то, возможно, вы сделаете хуже, пытаясь улучшить данными методами.
В разделе «Беспроводная сеть» перейдите во вкладку «Профессионально».
Если у вас маленькая квартира, и вам большой диапазон не нужен, установите в «Частотный диапазон» – 5 ГГц. Но помните, что данный тип подключения быстрее затухает, но имеет более высокую скорость и чистые каналы.
Для 2,4 поставьте на вкладке «Общие» в поле «Каналы» самый последний канал. Включите «Режим беспроводной сети» в «N» формат.
Для общих рекомендаций – установите антенны под углом 45 градусов. Если их три или более, то центральные надо установить под углом 90, а боковые под 45 градусов. Уберите микроволновые печи, радиоприемники, телефоны, которые излучают радиоволны. Установите аппарат так, чтобы на пути следования волны было как можно меньше препятствий. Железо и зеркала полностью убивают волну.
Карта сети
При заходе в админку будет отображаться вот такое окошко, где представлена вся необходимая информация для быстрого реагирования.
Гостевая сеть
В целом – это полезная вещь, разделить группу пользователей на несколько локальных беспроводных сетей. Заходим в раздел «Гостевая сеть». Там будет присутствовать по одной сети в каждом диапазоне. Если нажать кнопку «Включить», то она добавится ещё одна есть. Нажав на неё, вы сможете внести конфигурации:
Имя сети (SSID).
Метод проверки подлинности – ставьте WPA2-Personal.
Ключ как пароль для доступа
В конце можно указать время для доступа к интернету.
Родительский контроль
Здесь можно установить время использования интернета, а также защитить своё чадо от вредоносных взрослых сайтов.
Данный раздел находится сразу в левом меню или во вкладке «AirProtection». Включите режим бегунком.
Данная функция есть не на всех моделях роутеров. Для просмотра истории сайтов, на которые заходят клиенты, надо зайти в раздел «Адаптивная QOS» и далее «Веб-история» Если нажать на кнопку обновить, список обнулится. Очень полезная функция как дома, чтобы следить куда заходят дети, так и в офисе, чтобы бухгалтерия не засиживалась в «Одноклассниках» или «ВКонтакте».
Заблокировать пользователя в Wi-Fi, настройка доступа
Блокировка сайтов
Обновление прошивки
Во втором разделе «Дополнительные настройки» переходим в «Администрирование».
Видео инструкция
C распространением широкополосного доступа в интернет и карманных гаджетов стали чрезвычайно популярны беспроводные роутеры (маршрутизаторы). Такие устройства способны раздавать сигнал по протоколу Wi-Fi как на стационарные компьютеры, так и на мобильные устройства – смартфоны и планшеты, – при этом пропускной способности канала вполне достаточно для одновременного подключения нескольких потребителей.
Сегодня беспроводной роутер есть практически в любом доме, куда проведён широкополосный интернет. Однако далеко не все владельцы таких устройств задумываются над тем, что при настройках по умолчанию они чрезвычайно уязвимы для злоумышленников. И если вы считаете, что не делаете в интернете ничего такого, что могло бы вам повредить, задумайтесь над тем, что перехватив сигнал локальной беспроводной сети, взломщики могут получить доступ не только к вашей личной переписке, но и к банковскому счёту, служебным документам и любым другим файлам.
Хакеры могут не ограничиться исследованием памяти исключительно ваших собственных устройств – их содержимое может подсказать ключи к сетям вашей компании, ваших близких и знакомых, к данным всевозможных коммерческих и государственных информационных систем. Более того, через вашу сеть и от вашего имени злоумышленники могут проводить массовые атаки, взломы, незаконно распространять медиафайлы и программное обеспечение и заниматься прочей уголовно наказуемой деятельностью.
Между тем, чтобы обезопасить себя от подобных угроз, стоит следовать лишь нескольким простым правилам, которые понятны и доступны даже тем, кто не имеет специальных знаний в области компьютерных сетей. Предлагаем вам ознакомиться с этими правилами.
1. Измените данные администратора по умолчанию
Чтобы получить доступ к настройкам вашего роутера, необходимо зайти в его веб-интерфейс. Для этого вам нужно знать его IP-адрес в локальной сети (LAN), а также логин и пароль администратора.
Внутренний IP-адрес роутера по умолчанию, как правило, имеет вид 192.168.0.1, 192.168.1.1, 192.168.100.1 или, например, 192.168.123.254 – он всегда указан в документации к аппаратуре. Дефолтные логин и пароль обычно также сообщаются в документации, либо их можно узнать у производителя роутера или вашего провайдера услуг.
Вводим IP-адрес роутера в адресную строку браузера, а в появившимся окне вводим логин и пароль. Перед нами откроется веб-интерфейс маршрутизатора с самыми разнообразными настройками.
Ключевой элемент безопасности домашней сети – возможность изменения настроек, поэтому нужно обязательно изменить все данные администратора по умолчанию, ведь они могут использоваться в десятках тысяч экземпляров таких же роутеров, как и у вас. Находим соответствующий пункт и вводим новые данные.
В некоторых случаях возможность произвольного изменения данных администратора заблокирована провайдером услуг, и тогда вам придётся обращаться за помощью к нему.
2. Установите или измените пароли для доступа к локальной сети
Вы будете смеяться, но всё ещё встречаются случаи, когда щедрый обладатель беспроводного роутера организует открытую точку доступа, к которой может подключиться каждый. Гораздо чаще для домашней сети выбираются псевдопароли типа «1234» или какие-то банальные слова, заданные при установке сети. Чтобы минимизировать вероятность того, что кто-то сможет с лёгкостью забраться в вашу сеть, нужно придумать настоящий длинный пароль из букв, цифр и символов, и установить уровень шифрования сигнала – желательно, WPA2.
3. Отключите WPS
Технология WPS (Wi-Fi Protected Setup) позволяет быстро наладить защищённую беспроводную связь между совместимыми устройствами без подробных настроек, а лишь нажатием соответствующих кнопок на роутере и гаджете или путём ввода цифрового кода.
Между тем, у этой удобной системы, обычно включённой по умолчанию, есть одно слабое место: поскольку WPS не учитывает число попыток ввода неправильного кода, она может быть взломана «грубой силой» путём простого перебора с помощью простейших утилит. Потребуется от нескольких минут до нескольких часов, чтобы проникнуть в вашу сеть через код WPS, после чего не составит особого труда вычислить и сетевой пароль.
Поэтому находим в «админке» соответствующий пункт и отключаем WPS. К сожалению, внесение изменений в настройки далеко не всегда действительно отключит WPS, а некоторые производители вообще не предусматривают такой возможности.
4. Измените наименование SSID
Идентификатор SSID (Service Set Identifier) – это название вашей беспроводной сети. Именно его «вспоминают» различные устройства, которые при распознавании названия и наличии необходимых паролей пытаются подключиться к локальной сети. Поэтому если вы сохраните стандартное название, установленное, например, вашим провайдером, то есть вероятность того, что ваши устройства будут пытаться подключиться ко множеству ближайших сетей с тем же самым названием.
Более того, роутер, транслирующий стандартный SSID, более уязвим для хакеров, которые будут примерно знать его модель и обычные настройки, и смогут нанести удар в конкретные слабые места такой конфигурации. Потому выберите как можно более уникальное название, ничего не говорящее ни о провайдере услуг, ни о производителе оборудования.
При этом часто встречающийся совет скрывать трансляцию SSID, а такая опция стандартна для подавляющего большинства роутеров, на самом деле несостоятелен. Дело в том, что все устройства, пытающиеся подключиться к вашей сети, в любом случае будут перебирать ближайшие точки доступа, и могут подключиться к сетям, специально «расставленным» злоумышленниками. Иными словами, скрывая SSID, вы усложняете жизнь только самим себе.
5. Измените IP роутера
Чтобы ещё более затруднить несанкционированный доступ к веб-интерфейсу роутера и его настройкам, измените в них внутренний IP-адрес (LAN) по умолчанию.
6. Отключите удалённое администрирование
Для удобства технической поддержки (в основном) во многих бытовых роутерах реализована функция удалённого администрирования, при помощи которой настройки роутера становятся доступны через интернет. Поэтому, если мы не хотим проникновения извне, эту функцию лучше отключить.
При этом, однако, остаётся возможность зайти в веб-интерфейс через Wi-Fi, если злоумышленник находится в поле действия вашей сети и знает логин и пароль. В некоторых роутерах есть функция ограничить доступ к панели только при наличии проводного подключения, однако, к сожалению, эта опция встречается довольно редко.
7. Обновите микропрограмму
Каждый уважающий себя и клиентов производитель роутеров постоянно совершенствует программное обеспечение своего оборудования и регулярно выпускает обновлённые версии микропрограмм («прошивок»). В свежих версиях прежде всего исправляются обнаруженные уязвимости, а также ошибки, влияющие на стабильность работы.
Именно поэтому мы настоятельно рекомендуем регулярно проверять обновления микропрограмм и устанавливать их на свой роутер. В большинстве случаев это можно сделать непосредственно через веб-интерфейс.
Обратите внимание на то, что после обновления все сделанные вами настройки могут сброситься до заводских, поэтому есть смысл сделать их резервную копию – также через веб-интерфейс.
8. Перейдите в диапазон 5 ГГц
Базовый диапазон работы сетей Wi-Fi – это 2,4 ГГц. Он обеспечивает уверенный приём большинством существующих устройств на расстоянии примерно до 60 м в помещении и до 400 м вне помещения. Переход в диапазон 5 ГГц снизит дальность связи в два-три раза, ограничив для посторонних возможность проникнуть в вашу беспроводную сеть. За счёт меньшей занятости диапазона, вы сможете также заметить повысившуюся скорость передачи данных и стабильность соединения.
Минус у этого решения только один – далеко не все устройства работают c Wi-Fi стандарта IEEE 802.11ac в диапазоне 5 ГГц.
9. Отключите функции PING, Telnet, SSH, UPnP и HNAP
Если вы не знаете, что скрывается за этими аббревиатурами, и не уверены, что эти функции вам обязательно потребуются, найдите их в настройках роутера и отключите. Если есть такая возможность, вместо закрытия портов, выберите скрытый режим (stealth), который при попытках зайти на них извне сделает эти порты «невидимыми», игнорируя запросы и «пинги».
10. Включите брандмауэр роутера
Если в вашем роутере есть встроенный брандмауэр, то рекомендуем его включить. Конечно, это не бастион абсолютной защиты, но в комплексе с программными средствами (даже со встроенным в Windows брандмауэром) он способен вполне достойно сопротивляться атакам.
11. Отключите фильтрацию по MAC-адресам
Хотя на первый взгляд кажется, что возможность подключения к сети только устройств с конкретными MAC-адресами полностью гарантирует безопасность, в действительности это не так. Более того, оно делает сеть открытой даже для не слишком изобретательных хакеров. Если злоумышленник сможет отследить входящие пакеты, то он быстро получит список активных MAC-адресов, поскольку в потоке данных они передаются в незашифрованном виде. А подменить MAC-адрес не проблема даже для непрофессионала.
12. Перейдите на другой DNS-сервер
Вместо использования DNS-сервера вашего провайдера, можно перейти на альтернативные, например, Google Public DNS или OpenDNS. С одной стороны, это может ускорить выдачу интернет-страниц, а с другой, повысить безопасность. К примеру, OpenDNS блокирует вирусы, ботнеты и фишинговые запросы по любому порту, протоколу и приложению, и благодаря специальным алгоритмам на базе Больших Данных способен предсказывать и предотвращать разнообразные угрозы и атаки. При этом Google Public DNS – это просто скоростной DNS-сервер без дополнительных функций.
13. Установите альтернативную «прошивку»
И, наконец, радикальный шаг для того, кто понимает, что делает, – это установка микропрограммы, написанной не производителем вашего роутера, а энтузиастами. Как правило, такие «прошивки» не только расширяют функциональность устройства (обычно добавляются поддержка профессиональных функций вроде QoS, режима моста, SNMP и т.д), но и делают его более устойчивым к уязвимостям – в том числе и за счёт нестандартности.
Среди популярных open-source «прошивок» можно назвать основанные на Linux DD-WRT, OpenWrt и Tomato.
