[Tento príbeh bol pôvodne publikovaný v júli 2014 a odvtedy bol aktualizovaný o nové informácie.]

Väčšina routerov používaných bránami v domácnosti nie je úplne bezpečná. Niektoré smerovače sú natoľko zraniteľné, že by mali byť vyhodené, uviedol bezpečnostný expert na hackerskej konferencii HOPE X v New Yorku.

  • Najlepšie smerovače Wi-Fi pre váš domov alebo malú kanceláriu
  • The najlepší antivírus softvér, aby bol váš počítač čistý
  • Modem vs. router: Čím sa líšia a čo robia

„Ak sa smerovač predáva v [známom maloobchodnom reťazci elektroniky], nechcete ho kupovať,“ uviedol v prezentácii nezávislý počítačový konzultant Michael Horowitz.

„Ak vám smerovač dal váš poskytovateľ internetových služieb [ISP], nechcete ho ani používať, pretože ich rozdajú milióny, a to z nich robí hlavný cieľ tak pre špionážne agentúry, ako aj pre zlých chlapi. “

Horowitz odporučil, aby si zákazníci zameraní na bezpečnosť namiesto toho upgradovali na komerčné smerovače určené pre malé podniky, alebo aby aspoň svoje modemy a smerovače rozdelili na dve samostatné zariadenia. (Mnoho jednotiek „brány“, často dodávaných poskytovateľmi internetových služieb, funguje ako obe.) Ak Horowitz nevyužil ani jednu z týchto možností, uviedol zoznam preventívnych opatrení, ktoré môžu používatelia urobiť.

  • A smerovač VPN je najlepší spôsob zabezpečenia siete Wi-Fi doma

Problémy so spotrebiteľskými smerovačmi

Smerovače sú základným, ale neohrozeným pracovným koňom moderných počítačových sietí, napriek tomu je len málo domácich používateľov uvedomiť si, že sú v skutočnosti plnohodnotnými počítačmi s vlastnými operačnými systémami, softvérom a zraniteľnosti.

„Ohrozený smerovač vás môže špehovať,“ uviedol Horowitz a vysvetlil, že smerovač pod kontrolou útočníka môže spôsobiť útok man-in-the-middle, upravte nezašifrované údaje alebo pošlite používateľa na webové stránky „zlé dvojčatá“ maskujúce sa ako často používané portály webmailu alebo online bankovníctva.

Mnoho zariadení domácej brány na vysokej úrovni nedokáže upozorniť používateľov, či a kedy budú k dispozícii aktualizácie firmvéru, aj keď sú tieto aktualizácie nevyhnutné na odstránenie bezpečnostných dier, poznamenal Horowitz. Niektoré ďalšie zariadenia neprijmú heslá dlhšie ako 16 znakov.

Milióny smerovačov po celom svete majú na portoch orientovaných na internet povolený sieťový protokol Universal Plug and Play (UPnP), ktorý ich vystavuje vonkajším útokom.

„UPnP bol navrhnutý pre LAN [lokálne siete] a ako taký nemá žiadne zabezpečenie. Samo o sebe to nie je taký veľký problém, “uviedol Horowitz. Dodal však, že „UPnP na internete je ako ísť na operáciu a nechať lekára pracovať na nesprávnej nohe.“

Ďalším problémom je protokol správy domácej siete (HNAP), nástroj na správu, ktorý sa nachádza na niektorých starších smerovačoch pre spotrebiteľa a ktorý prenáša citlivé informácie o smerovači cez web na adrese http://[router IP adresa] / HNAP1 / a poskytuje úplnú kontrolu vzdialeným používateľom, ktorí poskytujú administratívne používateľské mená a heslá (čo mnoho používateľov oproti predvoleným nastaveniam výroby nikdy nezmení).

V roku 2014 červ smerovača s názvom TheMoon použil protokol HNAP na identifikáciu zraniteľných smerovačov značky Linksys, ku ktorým sa mohol sám rozšíriť. (Linksys rýchlo vydal opravu firmvéru.)

„Hneď ako prídete domov, je to niečo, čo chcete urobiť so všetkými svojimi smerovačmi,“ povedal Horowitz technicky zdatnému davu. „Choďte na / HNAP1 / a, dúfajme, že už nebudete mať žiadnu odpoveď, ak je to jediná dobrá vec. Úprimne povedané, ak dostanete odpoveď, vyhodil by som router. “

Hrozba WPS

Najhoršie zo všetkého je Wi-Fi Protected Setup (WPS), ľahko použiteľná funkcia, ktorá umožňuje používateľom obísť sieť heslo a pripojte zariadenia k sieti Wi-Fi jednoduchým zadaním osemmiestneho kódu PIN, ktorý je vytlačený na samotnom smerovači. Aj keď sa zmení sieťové heslo alebo názov siete, PIN zostáva v platnosti.

„Jedná sa o obrovský bezpečnostný problém odstránený zo zákona,“ uviedol Horowitz. „Toto osemmiestne číslo vás dostane do [smerovača] bez ohľadu na to, čo sa deje. Inštalatér teda príde k vám domov, otočí smerovač, vyfotí jeho spodok a on sa teraz môže navždy dostať do vašej siete. “

Tento osemmiestny PIN nie je ani v skutočnosti osemmiestny, vysvetlil Horowitz. Je to vlastne sedem číslic plus posledná číslica kontrolného súčtu. Prvé štyri číslice sú overené ako jedna sekvencia a posledné tri ako ďalšie, výsledkom je iba 11 000 možných kódov namiesto 10 miliónov.

„Ak je WPS aktívne, môžete sa dostať do smerovača,“ povedal Horowitz. „Musíte len odhadnúť 11 000 odhadov“ - triviálna úloha pre väčšinu moderných počítačov a smartfónov.

Potom existuje sieťový port 32764, o ktorom francúzsky bezpečnostný výskumník Eloi Vanderbeken v roku 2013 zistil, že bol potichu ponechaný otvorený na smerovačoch brány predávaných niekoľkými významnými značkami. Pomocou portu 32764 mohol ktokoľvek v lokálnej sieti - ktorá obsahuje poskytovateľa internetových služieb používateľa - prevziať úplnú administratívnu kontrolu nad smerovačom a dokonca vykonať obnovenie továrenských nastavení bez hesla.

Po zverejnení Vanderbekena bol prístav uzavretý pre väčšinu postihnutých zariadení, ale neskôr to zistil že sa dá ľahko znovu otvoriť pomocou špeciálne navrhnutého dátového paketu, ktorý je možné odoslať z ISP.

„To zjavne robí špionážna agentúra, je to úžasné,“ povedal Horowitz. „Bolo to zámerné, o tom niet pochýb.“

  • Čítaj viac: The najlepšia dubajská VPN môže obísť drakonické internetové zákony SAE

Ako uzamknúť domáci smerovač

Horowitz uviedol, že prvým krokom k zabezpečeniu domáceho smerovača je zabezpečiť, aby smerovač a káblový modem neboli jediným zariadením. Mnoho poskytovateľov internetových služieb prenajíma takéto zariadenia zákazníkom, ale budú mať malú kontrolu nad svojimi vlastnými sieťami. (Ak si potrebujete zaobstarať vlastný modem, prečítajte si naše odporúčania týkajúce sa najlepší káblový modem.)

„Ak by ste dostali jednu škatuľu, ktorú podľa mňa väčšina ľudí nazýva bránou,“ povedal, „mali by ste byť schopní kontaktovať ISP a nechať ich hlúpych v škatuli, aby fungovali iba ako modem. Potom k nemu môžete pridať vlastný smerovač. ““

Ďalej spoločnosť Horowitz odporučila, aby si zákazníci kúpili lacný komerčný router Wi-Fi / Ethernet, napríklad Pepwave Surf SOHO, ktorý sa predáva za zhruba 200 dolárov (aj keď si dajte pozor na cenu), a nie za router vhodný pre zákazníka, ktorý môže stáť iba 20 dolárov.

Je nepravdepodobné, že by smerovače komerčnej kvality mali povolené UPnP alebo WPS. Pepwave, poznamenal Horowitz, ponúka ďalšie funkcie, napríklad vrátenie firmvéru pre prípad, že by sa aktualizácia firmvéru pokazila.

Bez ohľadu na to, či je smerovač komerčný alebo spotrebný, existuje niekoľko vecí, ktoré sa líšia od ľahkých po ťažké, čo môžu správcovia domácej siete urobiť, aby sa ubezpečili, že ich smerovačov je viac zabezpečiť:

Ľahké opravy

Zmeňte administratívne údaje z predvoleného používateľského mena a hesla. Sú to prvé veci, ktoré sa útočník pokúsi. Návod na použitie vášho smerovača by vám mal ukázať, ako to urobiť. Ak sa tak nestane, vygooglite si to.

Vytvorte heslo dlhé, silné a jedinečné a nerobte z neho nič, čo by sa podobalo bežnému heslu na prístup k sieti Wi-Fi.

Zmeňte názov siete alebo SSID, od „Netgear“, „Linksys“ alebo iného predvoleného nastavenia, po niečo jedinečné, ale nedávajte mu meno, ktoré vás identifikuje.

„Ak bývate v bytovom dome v byte 3G, nevolajte svoje SSID„ Apartmán 3G “,“ zavtipkoval Horowitz. „Môžete to nazvať„ Apartmán 5F “.“

Zapnite automatické aktualizácie firmvéru ak sú k dispozícii. Novšie smerovače, vrátane väčšiny sieťových smerovačov, automaticky aktualizujú firmvér smerovača.

Povoliť bezdrôtové pripojenie WPA2 šifrovanie aby do vašej siete mohli naskočiť iba autorizovaní používatelia. Ak váš smerovač podporuje iba starý štandard WEP, je čas na nový smerovač.

Povoľte nový šifrovací štandard WPA3 ak to router podporuje. Od polovice roku 2020 to však robí málo routerov a klientských zariadení (počítače, mobilné zariadenia, zariadenia smart-home).

Zakážte chránené nastavenie Wi-Fi, ak vám to smerovač umožňuje.

Nastavte hosťovskú sieť Wi-Fi a ponúknite jeho použitie návštevníkom, ak má váš smerovač takúto funkciu. Ak je to možné, nastavte hosťovskú sieť tak, aby sa po uplynutí nastaveného času sama vypla.

„Môžete zapnúť hosťovskú sieť, nastaviť časovač a o tri hodiny neskôr sa sama vypne,“ uviedol Horowitz. „To je naozaj pekný bezpečnostný prvok.“

Ak máte veľa inteligentných domov alebo Zariadenia internetu vecí, šanca, že veľa z nich nebude strašne bezpečných. Pripojte im svoju hosťovskú sieť Wi-Fi namiesto vašej primárnej siete, aby ste minimalizovali škody spôsobené potenciálnym kompromisom zariadenia IoT.

Nepoužívajte správu cloudových smerovačov ak to ponúka výrobca vášho smerovača. Namiesto toho zistite, či je možné túto funkciu vypnúť.

„Je to naozaj zlý nápad,“ uviedol Horowitz. „Ak to váš smerovač ponúka, neurobil by som to, pretože teraz dôverujete inej osobe medzi vami a vaším smerovačom.“

Mnoho systémov „mesh router“, ako napr Google Wifi a Eero, sú úplne závislé od cloudu a môžu sa s používateľom prepojiť iba prostredníctvom cloudových aplikácií pre smartphony.

Aj keď tieto modely ponúkajú vylepšenia zabezpečenia v iných oblastiach, napríklad pri automatických aktualizáciách firmvéru, možno by stálo za úvahu vyhľadať sieťový smerovač, ktorý umožňuje prístup miestnej správy, napríklad Netgear Orbi.

Stredne ťažké

Nainštalujte nový firmvér keď bude k dispozícii - výrobcovia smerovačov takto inštalujú bezpečnostné opravy. Pravidelne sa prihláste do správcovského rozhrania smerovača.

U niektorých značiek bude pravdepodobne potrebné skontrolovať aktualizáciu firmvéru na webových stránkach výrobcu. Ak sa však niečo pokazí, majte po ruke záložný smerovač. Niektoré smerovače vám tiež umožňujú zálohovať aktuálny firmvér pred inštaláciou aktualizácie.

Nastavte smerovač tak, aby využíval pásmo 5 GHz pre Wi-Fi namiesto štandardnejšieho pásma 2,4 GHz, ak je to možné - a ak sú všetky vaše zariadenia kompatibilné.

„Pásmo 5 GHz nezasahuje tak ďaleko ako pásmo 2,4 GHz,“ uviedol Horowitz. „Takže ak je vo vašom susedstve o pár blokov ďalej nejaký zlý človek, mohol by vidieť vašu sieť 2,4 GHz, ale nemusel by vidieť vašu sieť 5 GHz.“

Zakázať prístup vzdialenej správya zakázať prístup správcu cez Wi-Fi. Správcovia by sa mali pripájať k smerovačom iba prostredníctvom káblového ethernetu. (Opäť to nebude možné u mnohých sieťových smerovačov.)

Pokročilé tipy pre technicky zdatnejších používateľov

Zmeňte nastavenia webového rozhrania pre správu, ak to váš smerovač umožňuje. V ideálnom prípade by rozhranie malo vynútiť zabezpečené pripojenie HTTPS cez neštandardný port, aby adresa URL pre administratívny prístup bola niečo ako, aby som použil Horowitzov príklad, “ https://192.168.1.1:82" namiesto štandardnejších “ http://192.168.1.1", ktorý štandardne používa internetový štandardný port 80.
Použite anonymný alebo súkromný režim prehliadača pri prístupe do administračného rozhrania, aby sa vaša nová adresa URL neuložila v histórii prehliadača.

Zakážte PING, Telnet, SSH, UPnP a HNAP, Ak je to možné. Všetko sú to protokoly vzdialeného prístupu. Namiesto toho, aby príslušné porty nastavili na „uzavreté“, nastavte ich na „tajný režim“, aby nedochádzalo k odpovediam na nevyžiadanú externú komunikáciu, ktorá môže pochádzať od útočníkov, ktorí skúmajú vašu sieť.

„Každý jeden smerovač má možnosť nereagovať na príkazy PING,“ uviedol Horowitz. „Je to absolútne niečo, čo chcete zapnúť - vynikajúca bezpečnostná funkcia. Pomáha vám skryť sa. Samozrejme sa nebudete skrývať pred svojím ISP, ale budete sa skrývať pred nejakým chlapom v Rusku alebo Číne. “

Zmena systému názvov domén (DNS) smerovača server z vlastného servera ISP na server udržiavaný prostredníctvom OpenDNS (208.67.220.220, 208.67.222.222), Google Public DNS (8.8.8.8, 8.8.4.4) alebo Cloudflare (1.1.1.1, 1.0.0.1).

Ak používate IPv6, zodpovedajúce adresy OpenDNS sú 2620: 0: ccc:: 2 a 2620: 0: ccd:: 2, adresy Google sú 2001: 4860: 4860:: 8888 a 2001: 4860: 4860:: 8844 a tie Cloudflare sú 2606: 4700: 4700:: 1111 a 2606:4700:4700::1001.

Použite a virtuálna privátna sieť (VPN) router na doplnenie alebo výmenu existujúceho smerovača a šifrovanie celej sieťovej prevádzky.

„Keď hovorím o smerovači VPN, mám na mysli smerovač, ktorý môže byť klientom VPN,“ uviedol Horowitz. „Potom sa zaregistrujete u nejakej spoločnosti VPN a všetko, čo pošlete cez tento smerovač, pôjde cez ich sieť. Je to skvelý spôsob, ako skryť, čo robíte, pred poskytovateľom internetových služieb. ““

Mnoho domácich smerovačov Wi-Fi je možné „flashovať“, aby sa spustil firmvér s otvoreným zdrojovým kódom, napríklad Firmvér DD-WRT, ktorý zas natívne podporuje protokol OpenVPN. Väčšina z najlepšia VPN služby tiež podporujú OpenVPN a poskytujú pokyny, ako nastaviť smerovače otvoreného zdroja na ich používanie.

Nakoniec použite štít spoločnosti Gibson Research Corp. služba skenovania portov na https://www.grc.com/shieldsup. Bude testovať váš smerovač na stovky bežných chýb zabezpečenia, z ktorých väčšinu môže zmierniť správca smerovača.

  • Stoja bezplatné VPN za riziko? Odborníci tvrdia, že nie
  • Čo je to sieťový smerovač a potrebujete ho?
  • Najlepšie predlžovače Wi-Fi