[Тази история първоначално е публикувана през юли 2014 г. и оттогава е актуализирана с нова информация.]

Повечето рутери на шлюза, използвани от домашни клиенти, са дълбоко несигурни. Някои рутери са толкова уязвими за атака, че трябва да бъдат изхвърлени, каза експерт по сигурността на хакерската конференция HOPE X в Ню Йорк.

  • Най-добрите Wi-Fi рутери за вашия дом или малък офис
  • The най-добрият антивирус софтуер, за да поддържате компютъра си чист
  • Модем срещу рутер: Как са различни и какво правят

„Ако маршрутизаторът се продава в [добре позната търговска верига за електроника], не искате да го купувате“, каза в презентация независимият компютърен консултант Майкъл Хоровиц.

„Ако вашият рутер ви е предоставен от вашия доставчик на интернет услуги [ISP], вие също не искате да го използвате, защото те раздават милиони от тях и това ги прави основна цел както за шпионски агенции, така и за лоши момчета. "

Хоровиц препоръча на потребителите, съобразени със сигурността, вместо това да надстроят до търговски рутери, предназначени за малък бизнес, или поне да разделят своите модеми и рутери на две отделни устройства. (Много „шлюзови“ устройства, често доставяни от доставчици на интернет услуги, действат и като двете.) Ако не успее нито една от тези опции, Хоровиц даде списък с предпазни мерки, които потребителите могат да предприемат.

  • A VPN на рутера е най-добрият начин да защитите Wi-Fi у дома си

Проблеми с потребителските рутери

Рутерите са съществените, но непредвидени работни коне на съвременните компютърни мрежи, но малко домашни потребители осъзнават, че всъщност са пълноценни компютри със собствени операционни системи, софтуер и уязвимости.

"Компрометиран рутер може да ви шпионира", каза Хоровиц, обяснявайки, че рутер под контрола на нападателя може да организира атака човек в средата, променят нешифровани данни или изпращат потребителя до уебсайтове на „зли близнаци“, маскирани като често използвани уеб поща или портали за онлайн банкиране.

Много домашни шлюзови устройства от потребителски клас не уведомяват потребителите, ако и когато актуализациите на фърмуера станат достъпни, въпреки че тези актуализации са от съществено значение за отстраняване на дупките в сигурността, отбеляза Хоровиц. Някои други устройства няма да приемат пароли, по-дълги от 16 знака.

Милиони рутери по целия свят имат мрежов протокол Universal Plug and Play (UPnP), активиран на портове, насочени към интернет, което ги излага на външни атаки.

"UPnP е проектиран за локални мрежи [локални мрежи] и като такъв няма сигурност. Само по себе си това не е толкова голяма работа ", каза Хоровиц. Но, добави той, "UPnP в интернет е като да отидеш на операция и да накараш лекаря да работи на грешния крак."

Друг проблем е протоколът за администриране на домашната мрежа (HNAP), инструмент за управление, намерен на някои по-стари потребителски рутери, който предава чувствителна информация за рутера през мрежата на http://[router IP адрес] / HNAP1 / и предоставя пълен контрол на отдалечени потребители, които предоставят администраторски потребителски имена и пароли (които много потребители никога не променят от фабричните настройки).

През 2014 г. червей на рутера, наречен TheMoon използва протокола HNAP за идентифициране на уязвими маршрутизатори с марка Linksys, към които може да се разпространи. (Linksys бързо издаде корекция на фърмуера.)

„Веднага щом се приберете вкъщи, това е нещо, което искате да направите с всичките си рутери“, каза Хоровиц на тълпата, която знае. "Отидете на / HNAP1 / и, надявам се, няма да получите отговор обратно, ако това е единственото добро нещо. Честно казано, ако получите някакъв отговор обратно, ще изхвърля рутера. "

WPS заплахата

Най-лошото от всичко е Wi-Fi Protected Setup (WPS), функция за лесна употреба, която позволява на потребителите да заобикалят мрежата парола и свържете устройства към Wi-Fi мрежа, просто като въведете осемцифрен ПИН, отпечатан на самия рутер. Дори ако мрежовата парола или име на мрежата са променени, ПИН кодът остава валиден.

"Това е огромен изтрит проблем със сигурността", каза Хоровиц. „Това осемцифрено число ще ви вкара в [рутера] без значение какво. Така водопроводчик идва в къщата ви, обръща рутера, прави снимка на дъното му и вече може да влезе във вашата мрежа завинаги. "

Този осемцифрен ПИН дори не е всъщност осем цифри, обясни Хоровиц. Това всъщност са седем цифри, плюс крайна цифра за контролна сума. Първите четири цифри се валидират като една последователност, а последните три като друга, което води до само 11 000 възможни кода вместо 10 милиона.

„Ако WPS е активен, можете да влезете в рутера“, каза Хоровиц. „Просто трябва да направите 11 000 предположения“ - тривиална задача за повечето съвременни компютри и смартфони.

След това има мрежов порт 32764, за който френският изследовател по сигурността Eloi Vanderbeken през 2013 г. откри, че е бил тихо оставен отворен на шлюзовите рутери, продавани от няколко големи марки. Използвайки порт 32764, всеки в локалната мрежа - който включва ISP на потребителя - може да поеме пълен административен контрол на рутера и дори да извърши фабрично нулиране без парола.

Пристанището беше затворено на най-засегнатите устройства след разкритията на Вандербекен, но по-късно той откри че той може лесно да бъде отворен отново със специално проектиран пакет данни, който може да бъде изпратен от ИНТЕРНЕТ ДОСТАВЧИК.

"Това е толкова очевидно, че е направено от шпионска агенция, че е невероятно", каза Хоровиц. "Беше умишлено, без съмнение."

  • Прочетете още: The най-добрата VPN на Дубай може да заобиколи драконовските закони за интернет в ОАЕ

Как да заключите домашния си рутер

Първата стъпка към сигурността на домашния рутер, каза Хоровиц, е да се уверите, че рутерът и кабелният модем не са едно устройство. Много интернет доставчици отдават такива устройства под наем на клиенти, но те ще имат малък контрол върху собствените си мрежи. (Ако трябва да получите собствен модем, вижте нашите препоръки за най-добрият кабелен модем.)

„Ако ви е дадена една кутия, която повечето хора мисля, че наричат ​​шлюз“, каза той, „би трябвало да можете да се свържете с интернет доставчика и да ги накарате да заглушат кутията, така че тя да действа като модем. След това можете да добавите свой собствен рутер към него. "

След това Хоровиц препоръча на клиентите да купят Wi-Fi / Ethernet рутер от нисък клас с търговски клас, като например Pepwave Surf SOHO, който се продава на дребно за около $ 200 (макар и да внимавате за цените), а не за лесен за ползване рутер, който може да струва само $ 20

Малко вероятно е търговските рутери да имат активирани UPnP или WPS. Pepwave, отбеляза Хоровиц, предлага допълнителни функции, като например връщане на фърмуера в случай, че актуализацията на фърмуера се обърка.

Независимо дали рутерът е търговски или потребителски, има няколко различни неща от лесно до трудно, което администраторите на домашната мрежа могат да направят, за да се уверят, че техните рутери са повече сигурно:

Лесни корекции

Променете административните идентификационни данни от потребителското име и парола по подразбиране. Те са първите неща, които нападателят ще опита. Ръководството с инструкции на вашия рутер трябва да ви покаже как да направите това. Ако не стане, тогава го гугъл.

Направете паролата дълга, силна и уникална и не я превръщайте в нещо подобно на обикновената парола за достъп до Wi-Fi мрежата.

Променете името на мрежата или SSID, от „Netgear“, „Linksys“ или каквото и да е по подразбиране, до нещо уникално - но не му давайте име, което да ви идентифицира.

„Ако живеете в жилищен блок в апартамент 3G, не наричайте SSID„ Апартамент 3G “, изрече Хоровиц. „Наречете го„ Апартамент 5F “.“

Включете автоматичните актуализации на фърмуера ако са налични. По-новите рутери, включително повечето мрежови рутери, автоматично ще актуализират фърмуера на рутера.

Активирайте безжичната WPA2 криптиране така че само оторизирани потребители могат да скачат във вашата мрежа. Ако вашият рутер може да поддържа само стария стандарт WEP, е време за нов рутер.

Активирайте новия стандарт за криптиране WPA3 ако рутерът го поддържа. Към средата на 2020 г. обаче малко рутери и клиентски устройства (компютри, мобилни устройства, интелигентни домашни устройства) го правят.

Деактивирайте Wi-Fi Protected Setup, ако вашият рутер ви позволява.

Настройте Wi-Fi мрежа за гости и предлагайте използването му на посетителите, ако вашият рутер има такава функция. Ако е възможно, настройте мрежата за гости да се самоизключва след определен период от време.

„Можете да включите мрежата си за гости и да настроите таймер и три часа по-късно тя се изключва“, каза Хоровиц. „Това е наистина хубава функция за сигурност.“

Ако имате много умен дом или Устройства за Интернет на нещата, шансовете са много от тях да не са ужасно сигурни. Свържете ги с вашата Wi-Fi мрежа за гости вместо с вашата основна мрежа, за да сведете до минимум щетите, произтичащи от потенциален компрометиране на IoT устройство.

Не използвайте облачно управление на рутер ако производителят на вашия рутер го предлага. Вместо това, разберете дали можете да изключите тази функция.

"Това е наистина лоша идея", каза Хоровиц. „Ако вашият рутер предлага това, не бих го направил, защото сега се доверявате на друг човек между вас и вашия рутер.“

Много "мрежови рутер" системи, като Google Wifi и Ееро, са изцяло зависими от облака и могат да взаимодействат с потребителя само чрез базираните на облак приложения за смартфони.

Докато тези модели предлагат подобрения в сигурността в други области, като например с автоматични актуализации на фърмуера, може да си струва да се търси мрежов рутер, който позволява локален административен достъп, като например Netgear Orbi.

Умерено трудно

Инсталирайте нов фърмуер когато стане достъпна - по този начин производителите на рутери инсталират корекции за сигурност. Влезте в административния интерфейс на вашия рутер рутинно, за да проверите.

При някои марки може да се наложи да проверите уебсайта на производителя за надстройки на фърмуера. Но имайте под ръка резервен рутер, ако нещо се обърка. Някои рутери също ви позволяват да архивирате текущия фърмуер, преди да инсталирате актуализация.

Настройте вашия рутер да използва 5-GHz обхват за Wi-Fi вместо по-стандартния 2.4-GHz обхват, ако е възможно - и ако всичките ви устройства са съвместими.

„Обхватът от 5 GHz не достига чак до 2,4 GHz обхват“, каза Хоровиц. „Така че, ако в квартал има някой лош човек на пресечка или две, той може да види вашата 2,4-GHz мрежа, но може да не види вашата 5-GHz мрежа.“

Деактивирайте отдалечения административен достъп, и деактивирайте административния достъп през Wi-Fi. Администраторите трябва да се свързват с рутери само чрез кабелен Ethernet. (Отново, това няма да е възможно с много мрежови рутери.)

Разширени съвети за по-разумни потребители

Променете настройките за административния уеб интерфейс, ако вашият рутер го позволява. В идеалния случай интерфейсът трябва да налага сигурна HTTPS връзка през нестандартен порт, така че URL адресът за административен достъп да е нещо като, да използваме примера на Хоровиц, " https://192.168.1.1:82" вместо по-стандартния " http://192.168.1.1", който по подразбиране използва стандартния за интернет порт 80.
Използвайте инкогнито или частния режим на браузъра при достъп до административния интерфейс, така че новият ви URL да не се запазва в историята на браузъра.

Деактивирайте PING, Telnet, SSH, UPnP и HNAP, ако е възможно. Всичко това са протоколи за отдалечен достъп. Вместо да задавате съответните им портове на „затворени“, настройте ги на „стелт“, така че да не се дава отговор на непоискани външни комуникации, които могат да идват от нападатели, които изследват вашата мрежа.

"Всеки рутер има опция да не отговаря на командите PING", каза Хоровиц. „Това е абсолютно нещо, което искате да включите - страхотна функция за сигурност. Помага ви да се скриете. Разбира се, няма да се криете от вашия интернет доставчик, но ще се скриете от някой в ​​Русия или Китай. "

Промяна на системата за имена на домейни на рутера (DNS) сървър от собствен сървър на ISP към такъв, поддържан от OpenDNS (208.67.220.220, 208.67.222.222), Google Public DNS (8.8.8.8, 8.8.4.4) или Cloudflare (1.1.1.1, 1.0.0.1).

Ако използвате IPv6, съответните адреси на OpenDNS са 2620: 0: ccc:: 2 и 2620: 0: ccd:: 2, Google са 2001: 4860: 4860:: 8888 и 2001: 4860: 4860:: 8844, а Cloudflare са 2606: 4700: 4700:: 1111 и 2606:4700:4700::1001.

Използвай виртуална частна мрежа (VPN) рутер за допълване или подмяна на съществуващия рутер и криптиране на целия ви мрежов трафик.

„Когато казвам VPN рутер, имам предвид рутер, който може да бъде VPN клиент“, каза Хоровиц. "След това се регистрирате в някоя VPN компания и всичко, което изпращате през този рутер, преминава през тяхната мрежа. Това е чудесен начин да скриете това, което правите, от вашия доставчик на интернет услуги. "

Много домашни Wi-Fi рутери могат да бъдат "мигани", за да стартират фърмуер с отворен код, като например DD-WRT фърмуер, което от своя страна поддържа протокола OpenVPN изначално. Повечето от най-добрата VPN услугите също поддържат OpenVPN и предоставят инструкции как да настроите рутери с отворен код, за да ги използват.

И накрая, използвайте Shibss Up на Gibson Research Corp. услуга за сканиране на портове на адрес https://www.grc.com/shieldsup. Той ще тества вашия рутер за стотици често срещани уязвимости, повечето от които могат да бъдат смекчени от администратора на рутера.

  • Заслужават ли безплатни VPN услуги за риск? Експертите казват „не“
  • Какво е мрежов рутер и имате ли нужда от такъв?
  • Най-добрите удължители за Wi-Fi