Советы по настройке телефона и компьютера



» » Безопасность маршрутизатора уязвима: вот как это исправить
0

Безопасность маршрутизатора уязвима: вот как это исправить

Автор: alik2039 категория: Настроить роутер , wi-fi дата: 26-02-2018

Большинство маршрутизаторов имеют шлюза, используемых домашними клиентами, крайне небезопасны, и некоторые маршрутизаторы настолько уязвимы для атаки, что их следует выбросить, сказал эксперт по безопасности на конференции Hacker X Hacker в Нью-Йорке.

Безопасность маршрутизатора уязвима: вот как это исправить 

«Если маршрутизатор продается в [паре с электроникой], а вы не хотите его покупать», - сказал в презентации независимый компьютерный консультант Michael Horowitz. «Если ваш маршрутизатор предоставлен вам вашим провайдером интернет-услуг [ISP], вы также не хотите его использовать, потому что они отдают миллионы таких, и это делает их главной мишенью, как для агентств-шпионов, так и для плохих парней».

Horowitz рекомендовал, чтобы потребители, ориентированные на безопасность, вместо этого обновлялись до коммерческих маршрутизаторов, предназначенных для малого бизнеса, или, по крайней мере, разделяли их модемы и маршрутизаторы на два отдельных устройства. (Многие блоки «шлюза», часто предоставляемые провайдерами интернет-услуг, действуют как оба). В случае отказа от этих вариантов Horowitz дал список мер предосторожности, которые могут предпринять пользователи.

Проблемы потребительских маршрутизаторов

Маршрутизаторы являются важными, но незавершенными рабочими устройствами современных компьютерных сетей, однако мало кто из домашних пользователей понимает, что они компьютеры, и у них собственные операционные системы, программное обеспечение и уязвимости.

«Скомпрометированный маршрутизатор может следить за вами, - сказал Horowitz, объясняя, что маршрутизатор под контролем злоумышленника может организовать атаку «человек в середине», изменить незашифрованные данные или отправить пользователей на «плохие двойники» веб-сайты, используемые веб-почту или интернет-банкинг.

Horowitz отметил, что многие устройства домашнего домоустройства не сообщают пользователям, когда станут доступны обновления прошивки, хотя эти обновления необходимы для исправления дыр в безопасности. Некоторые другие устройства не будут принимать пароли длиной более 16 символов.

Миллионы маршрутизаторов по всему миру имеют сетевой протокол Universal Plug and Play (UPnP), который включен в портах, обращенных к Интернету, что подвергает их внешней атаке.

«UPnP был разработан для локальных сетей [локальных сетей], и поэтому он не имеет безопасности. Само по себе это не так уж и важно», - сказал Horowitz. Но, добавил он, «UPnP в Интернете - это как заняться хирургическим вмешательством и заставить врача работать на неправильной ноге».

Другой проблемой является протокол администрирования домашней сети (HNAP), инструмент управления, обнаруженный на некоторых маршрутизаторах потребительского класса, который передает конфиденциальную информацию о маршрутизаторе через Интернет по адресу http: // [IP-адрес маршрутизатора] / HNAP1 / и предоставляет полный контроль для удаленных пользователей, которые предоставляют административные имена пользователей и пароли (которые многие пользователи никогда не меняют с заводских настроек по умолчанию).

В 2014 году маршрутизатор-червь под названием The Moon использовал протокол HNAP для идентификации уязвимых маршрутизаторов Linksys, к которым он мог распространяться. (Linksys быстро выпустила прошивку).

«Как только вы вернетесь домой, проделайте, это со всеми своими маршрутизаторами», - сказал Horowitz высокопрофессиональной толпе. «Идите в / HNAP1 /, и, надеюсь, вы не получите ответа, если это будет только одна хорошая вещь. Честно говоря, если вы получите ответ, я выброшу маршрутизатор».

Угроза WPS

Хуже всего Wi-Fi Protected Setup (WPS) - простота использования, позволяющая пользователям обходить сетевой пароль и подключать устройства к сети Wi-Fi просто путем ввода восьмизначного ПИН-кода, который печатается на самом маршрутизаторе, Даже если изменился сетевой пароль или имя сети, PIN-код остается действительным.

«Это огромная проблема с безопасным удалением, - сказал Horowitz. «Это восьмизначное число приведет вас в [роутер], несмотря ни на что. Так что водопроводчик подходит к вашему дому, поворачивает маршрутизатор, снимает снизу его, и теперь он может навещать вашу сеть всегда».

Horowitz объяснил, что этот восьмизначный PIN-код даже не является восьмью цифрами. На самом деле это семь цифр, плюс окончательная цифра контрольной суммы. Первые четыре цифры проверяются как одна последовательность, а последние три - как другие, в результате всего лишь 11 000 возможных кодов вместо 10 миллионов.

«Если WPS активен, вы можете попасть в маршрутизатор», - сказал Horowitz. «Вам просто нужно сделать 11 000 подборов» - тривиальная задача для большинства современных компьютеров и смартфонов.

Затем есть сетевой порт 32764, который обнаружил французский исследователь безопасности Элои Вандербекен в 2013 году, который был спокойно поставлен на шлюзах маршрутизаторов, продаваемых несколькими крупными брендами. Используя порт 32764, любой пользователь в локальной сети, включающий в себя ISP пользователя, может полностью управлять администратором маршрутизатора и даже выполнять сброс настроек без пароля.

Порт был закрыт на большинстве затронутых устройств после раскрытия информации Vanderbeken, но позже он обнаружил, что его можно легко открыть с помощью специально разработанного пакета данных, который может быть отправлен провайдером.

«Это явно сделано шпионским агентством, это потрясающе», - сказал Horowitz. «Это было преднамеренно, без сомнений».

Как заблокировать домашний маршрутизатор

Horowitz сказал, что первым шагом к обеспечению безопасности домашнего маршрутизатора является то, что маршрутизатор и модем не являются одним устройством. Многие интернет-провайдеры арендуют такие устройства для клиентов, но они не смогут контролировать свои собственные сети.

«Если вам дана одна коробка, которую большинство людей, на мой взгляд, называют шлюзом, - сказал он, - вы должны иметь возможность связаться с интернет-провайдером и убрать их в ящик, чтобы он работал как модем, добавьте к нему свой собственный маршрутизатор».

Затем Horowitz рекомендовал, чтобы клиенты покупали недорогой Wi-Fi / Ethernet-маршрутизатор коммерческого класса, такой как Pepwave Surf SOHO, который продается по цене около 200 долларов США, а не дружественный к потребителю маршрутизатор, который может стоить всего лишь 20 долларов США. Маршрутизаторы коммерческого класса вряд ли будут иметь UPnP или WPS. Pepwave, отметил Horowitz, предлагает дополнительные функции, такие как откаты прошивки в случае, если обновление прошивки идет не так.

Независимо от того, является ли маршрутизатор коммерческим или потребительским, существует несколько вещей, варьирующихся от простых до сложных, которые могут сделать администраторы домашней сети, чтобы убедиться, что их маршрутизаторы более безопасны:

Легкие исправления

Измените учетные данные администратора из имени пользователя и пароля по умолчанию. Это первая уязвимость, которую атакует. Руководство по эксплуатации вашего маршрутизатора должно показать вам, как это сделать; если это не так, то Google точно.

Измените, сетевое имя или SSID на «Netgear», «Linksys» или что-то по умолчанию, на что-то уникальное, но не давайте ему имя, которое идентифицирует вас.

«Если вы живете в многоквартирном доме в квартире 3G, не называйте свой SSID «Квартира 3G», - ответилHorowitz. «Назовите это «Квартира 5F».

Включите беспроводное шифрование WPA2,чтобы только авторизованные пользователи могли заходить в вашу сеть.

Отключите Wi-Fi Protected Setup, если ваш маршрутизатор позволяет сделать это.

Настройте гостевую сеть Wi-Fi и предложите ее пользователям, если у вашего маршрутизатора есть такая функция. Если возможно, установите гостевую сеть, которая способна выключаться в заданный период времени.

«Вы можете включить гостевую сеть и установить таймер, а через три часа он выключится», - сказал Horowitz. «Это действительно хорошая функция безопасности».

Если у вас много смарт-домов или интернет-устройств Things, вероятность того, что многие из них не будут сильно безопасными. Подключите их к вашей гостевой сети Wi-Fi вместо основной сети, чтобы свести к минимуму ущерб, вызванный любым потенциальным компрометацией устройства IoT.

Не используйте управление маршрутизаторами на основе облачных вычислений, если это предлагает производитель маршрутизатора. Вместо этого выясните, можете ли вы отключить эту функцию.

«Это очень плохая идея, - сказал Horowitz. «Если ваш маршрутизатор предлагает это, я бы этого не сделал, потому что теперь вы доверяете другому человеку между вами и вашим маршрутизатором». 

Многие новые «сетевые маршрутизаторы», такие, как Google Wifi и Eero, полностью зависящие от облаков и могут взаимодействовать с пользователем только через облачные приложения для смартфонов. Хотя эти модели предлагают улучшения безопасности в других областях, например, с автоматическими обновлениями прошивки, возможно, стоит искать маршрутизатор в стиле сетки, который разрешает локальный административный доступ, такой как Netgear Orbi. 

Умеренно трудные

Установите новую прошивку, когда она станет доступной. Регулярно заходите в административный интерфейс вашего маршрутизатора для проверки. С некоторыми брендами вам, возможно, придется проверить сайт производителя на обновление прошивки. Новые маршрутизаторы, включая большинство сетевых маршрутизаторов, автоматически обновят прошивку. Но имейте резервный маршрутизатор под рукой, если что-то пойдет не так.

Установите маршрутизатор для использования диапазона 5 ГГц для Wi-Fi вместо более стандартного диапазона 2,4 ГГц, если это возможно, и если все ваши устройства совместимы.

«Диапазон 5 ГГц не распространяется на диапазон 2,4 ГГц», - сказал Horowitz. «Так что, если в вашем районе есть какой-то плохой парень в квартале или двух, он может видеть вашу сеть с частотой 2,4 ГГц, но он может не видеть вашу сеть с тактовой частотой 5 ГГц».

Отключить удаленный административный доступ и отключите административный доступ через Wi-Fi. Администраторы должны подключаться к маршрутизаторам только через проводной Ethernet. (Опять же, это будет невозможно во многих сетчатых маршрутизаторах.)

Дополнительные советы для более опытных пользователей 

Измените, настройки для административного веб-интерфейса, если ваш маршрутизатор разрешает это. В идеале интерфейс должен обеспечивать безопасное соединение HTTPS через нестандартный порт, так что URL-адрес для административного доступа будет чем-то вроде того, чтобы использовать пример Horowitz «https://192.168.1.1:82» вместо более стандартного «http://192.168.1.1», который по умолчанию использует порт интернет-стандарта 80.
При обращении к административному интерфейсу используется инкогнито или частный режим браузера,чтобы новый URL не сохранялся в истории браузера. 

Если возможно, отключите PING, Telnet, SSH, UPNP и HNAP. Все это протоколы удаленного доступа. Вместо того, чтобы устанавливать соответствующие порты в «закрытые», установите их «скрытно», чтобы не было ответа на не затребованные внешние сообщения, которые могут исходить от злоумышленников, исследующих вашу сеть.

«У каждого маршрутизатора есть возможность не отвечать на команды PING, - сказал Horowitz. «Это абсолютно то, что вы хотите включить, - отличная функция безопасности, которая помогает вам спрятаться. Конечно, вы не собираетесь скрываться от своего интернет-провайдера, но вы собираетесь скрыться от какого-то парня в России или Китае».

Измените сервер доменные имена маршрутизатора (DNS) с собственного сервера ISP на один, поддерживаемый Open DNS (208.67.220.220, 208.67.222.222) или Google Public DNS (8.8.8.8, 8.8.4.4). Если вы используете IPv6, соответствующие адреса Open DNS: 2620: 0: ccc :: 2 и 2620: 0: ccd :: 2, а Google - 2001: 4860: 4860 :: 8888 и 2001: 4860: 4860: : 8844.

Используйте маршрутизатор виртуальной частной сети (VPN) для дополнения или замены существующего маршрутизатора и шифрования всего сетевого трафика.

«Когда я говорю VPN-маршрутизатор, я имею в виду маршрутизатор, который может быть VPN-клиентом», - сказал Horowitz. «Затем вы подписываетесь с какой-либо компанией VPN, и все, что вы отправляете через этот маршрутизатор, проходит через их сеть. Это отличный способ скрыть то, что вы делаете от своего интернет-провайдера».

Многие домашние маршрутизаторы Wi-Fi могут «мигать», чтобы запускать прошивку с открытым исходным кодом, например прошивку DD-WRT, которая, в свою очередь, поддерживает протокол Open VPN изначально. Большинство коммерческих служб VPN поддерживают Open VPN и предоставляют инструкции о том, как устанавливать маршрутизаторы с открытым исходным кодом для их использования.

Наконец, используйте службу сканирования портов Gibson Research Corp. На экране https://www.grc.com/shieldsup. Он проверит ваш маршрутизатор на сотни распространенных уязвимостей, большинство из которых могут быть смягчены администратором маршрутизатора.


Другие новости по теме:

  • Понятие VPN: недостатки и преимуществаВиртуальная частная сеть (VPN) позволяет удаленным пользователям безопасно подключаться к частному серверу из любого места. Например, сотрудники, работающие на дороге или работающие дома, могут
  • Советы по подключению нового маршрутизатораПосле того, как вы настроили свой новый маршрутизатор, обновили пароль безопасности, готовы ним пользоваться, не спешите настроек еще можно сделать много, чтобы улучшить производительность вашего
  • Настроить Wi-Fi роутер - маршрутизатор TP-Link TL-WR841NСегодня мы поговорим о том как настроить Wi-Fi роутер TP-link TL-WR841NВ на сегодняшний день нет наверное такой семьи, которая не использует современные гаджеты такие как планшеты, мобильные

Добавить комментарий

Имя:*
E-Mail:
Комментарий: