Когда использование Интернета стало включать в себя домашнюю телеработу, развлечения, управление личными финансами, социальные сети, школьную работу и предприятия, наш домашний маршрутизатор стал внутренней частью глобальной коммуникационной системы. Маршрутизатор облегчает расширенное соединение. Почти все эти устройства предварительно настроены в той компании, в которой они сделаны, и подключаются и работают для их немедленного использования.
После установки маршрутизатора дома пользователи часто подключаются напрямую к всемирной паутине, не выполняя никаких дополнительных настроек. Пользователи могут неохотно улучшать конфигурацию защиты, потому что эти конфигурации могут показаться немного сложными или просто пользователи не хотят тратить больше времени с этими расширенными настройками конфигурации.
Проводной или беспроводной?
Проводные ЛВС: соедините два или более маршрутизатора через кабели Ethernet (RJ 45). Эти ЛВС обычно используют централизованные устройства, такие как коммутаторы, маршрутизаторы и концентраторы (в наши дни не используются), когда требуется подключение к огромному количеству ПК.
Беспроводные локальные сети: соединение двух или более маршрутизаторов по воздуху. Инфраструктура должна быть либо в режиме AD-hoc, либо в режиме инфраструктуры. Как беспроводные, так и проводные сети имеют свои недостатки и преимущества. Беспроводные локальные сети – актуальная тенденция по нескольким причинам:
Поддержка мобильности.
Простота установки.
Почему беспроводные локальные сети более уязвимы, чем проводные?
Теоретически, WLAN менее безопасны, чем проводные локальные сети. Благодаря беспроводной связи Вы можете использовать свободное пространство в качестве среды для сообщений. Поэтому любой ПК в зоне покрытия и с соответствующим оборудованием может перехватить сигнал и получить доступ к сети, если пользователь не предпримет соответствующие защитные действия. Если подозрительный пользователь может подключиться к домашней сети, кроме кражи личных данных пользователя, хранящихся на ПК, и использования высокой пропускной способности интернета, злоумышленник может также использовать домашнюю сеть для попытки незаконных действий, создания распределенного отказа в обслуживании и отправку спама.
Зачем защищать домашний маршрутизатор?
Маршрутизаторы доступны напрямую из всемирной паутины, и их легко обнаруживать, часто они включены и обычно уязвимы из-за настроек конфигурации по умолчанию. Эти свойства предлагают злоумышленнику лучшую цель для получения деловых или личных данных пользователя. Характеристики беспроводной связи, встроенные в разные устройства, добавляют ещё одну уязвимую цель.
Как предотвратить несанкционированный доступ к домашней сети?
Предупредительные схемы перечислены ниже и предназначены для повышения безопасности домашних маршрутизаторов и снижения уязвимости внутренней сети от атак из внешних источников.
Изменить значение по умолчанию имя пользователя и пароль: по умолчанию эти пароли и логины доступны во многих маршрутизаторах и доступны атакам извне. Таким образом, пользователи должны мгновенно изменить их при предварительной установке маршрутизатора. Лучше использовать очень надёжный пароль, состоящий из специальных символов, букв и цифр, имеющий не менее 15 символов. Кроме того, лучше менять пароль каждые 40-80 дней.
Изменить установленный по умолчанию SSID (идентификатор набора служб): это уникальная структура, которая идентифицирует беспроводную сеть. Каждое беспроводное устройство для соединения друг с другом в беспроводной локальной сети должно использовать идентичный SSID. Компания во время изготовления маршрутизатора создаёт SSID по умолчанию, и этот SSID обычно определяет фактическое устройство или производителя. Злоумышленник может использовать SSID назначенный по умолчанию для распознавания эксплойта и устройства любой из известных уязвимостей. Люди устанавливают SSID как фразу, которая указывает на их местоположение, компанию или их имя. Эту информацию легко может узнать злоумышленник, чтобы определить специальную домашнюю сеть или бизнес, основанный на SSID, который чётко показывает местоположение компании, имя или собственное имя. Например, SSID, который передаёт название организации, является привлекательной целью, а также SSID, который часто вводят как “123ABC”. Использование хорошо известных или стандартных SSID делает их легко доступными для атаки, поэтому ключи защищённого доступа (WPA2) в Wi-Fi сети установить проще. При выборе SSID сделайте его эксклюзивным и не привязанным к Вашему бизнесу или вашей личности.
Не используйте систему управления для домашнего маршрутизатора: домашние маршрутизаторы часто предоставляют сайты для пользователей, чтобы управлять их конфигурацией. Не регистрируйтесь на веб-сайте для сотрудничества, так как защита от подделки межсайтового запроса легко доступна для атак. Атака CSRF будет передавать незаконные команды от злоумышленника в сеть управления домашнего маршрутизатора.
Настройка Wi-Fi PA2 AES (расширенный стандарт шифрования) для обеспечения конфиденциальности данных: многие маршрутизаторы всё ещё используют WEP (Wired Equivalent Privacy), что не рекомендуется. Если домашний маршрутизатор или другие устройства поддерживают только WEP, никакие другие стандарты шифрования не должны применяться на устройствах домашней сети. Более новым стандартом является WPA2-AES, он шифрует канал связи между беспроводными устройствами и беспроводным маршрутизатором. Он обеспечивает более надежную авторизацию и аутентификацию между сетевыми устройствами. Защищённый доступ WPA2-AES включает 128-битное шифрование AES. Защищенный доступ к Wi-Fi с расширенным стандартом шифрования – это лучшие настройки защищенного домашнего маршрутизатора для его частного использования.
Немедленно отключите Wi-Fi Protected Setup: он обеспечивает более простой механизм настройки домашних сетей со средней безопасностью. Недостаток конструкции, который существует в спецификации Wi-Fi Protected Setup – это аутентификация по паролю, что значительно сокращает время, необходимое для взлома всей системы. Что позволяет злоумышленникам легко узнать, когда была исправлена первая половина 8-символьного пароля. Отсутствие надлежащей политики блокировки после огромного количества неудачных попыток угадать пароль на разных беспроводных домашних маршрутизаторах, вероятно, приведёт к атаке методом перебора.
Ограничение излучения сигналов беспроводной локальной сети: беспроводные сигналы часто передаются по периметру организации пользователя или дома. Это может продлить перехваты разрешений злоумышленниками за пределами периметра сети пользователя. Важно учитывать уровень мощности передачи, расположение антенны и тип антенны. Локальные сети по своей природе намного безопаснее, чем беспроводные, поскольку они защищены физической сборкой, в которой находятся эти устройства. Измените поверхность покрытия вещания при защите домашней беспроводной локальной сети. Всенаправленная антенна с центральным расположением является наилучшим распространенным типом антенны. Если это возможно, используйте поворотную антенну, чтобы ограничить покрытие беспроводной локальной сети только необходимое пространство. Тестирование уровня сигнала и уровня вещания также позволит пользователю наилучшим образом контролировать покрытие беспроводной локальной сети. Чувствительная антенна может принимать сигналы с большего расстояния, чем ожидали люди, и поэтому заинтересованные злоумышленники могут всё ещё иметь возможность взломать точку доступа, которая имеет частичное покрытие.
Выключайте домашнюю сеть, когда она не используется: иногда может быть нецелесообразно выключать устройства и включать их, как правило, с учетом этого метода во время расширенных или автономных этапов. В целях обеспечения безопасности беспроводных сетей отключение сети не позволит злоумышленникам использовать уязвимость домашней беспроводной локальной сети.
Отключайте Universal Plug and Play, когда в этом нет необходимости. Это удобная функция, позволяющая сетевым устройствам легко устанавливать и обнаруживать связь с разными людьми в одной сети. Несмотря на то, что функция Universal Plug and Play помогает предварительно настроить сеть, это угроза безопасности. Например, вредоносное программное обеспечение в домашней сети может использовать Universal Plug and Play, чтобы использовать дыру в брандмауэре домашнего маршрутизатора, чтобы позволить злоумышленникам проникнуть внутрь сети. Таким образом, отключайте Universal Plug and Play, если пользователи в ней не нуждаются.
Обновление прошивки: то же самое, что и приложение на наших ПК, прошивка домашнего роутера (программное обеспечение которое функционирует внутри) должна иметь последние исправления и обновления. Большинство исправлений устраняют уязвимости безопасности, которые могут повлиять на домашнюю сеть. Рассмотрите возможность прошивки домашнего маршрутизатора, для этого проверьте веб-сайт производителя, чтобы узнать, предоставляет ли веб-сайт исправления для устранения недостатков безопасности.
Отключить удаленное управление: отключите эту опцию, чтобы злоумышленники не могли установить соединение с домашним маршрутизатором и его настройками через интерфейс WAN.
Оповещение о подключении неизвестных устройств: используйте сайт управления домашним маршрутизатором, чтобы определить, пыталось ли какое-либо неавторизованное устройство подключиться или присоединиться к домашней сети. Если обнаружено подозрительное устройство, на домашнем маршрутизаторе может быть применено правило контроля доступа к мультимедиа или правила фильтрации брандмауэра.