Для чего нужен маршрутизатор сетевой экран
Firewall: что это такое и для чего он нужен?
Рубрики
Архив
Интернет и Технологии
Время прочтения: 5 мин
Именно firewall зачастую становится последней стеной, которая защищает домашнюю сеть или компьютер от вредоносного межсетевого трафика и манипуляций злоумышленников с приходящими пакетами. Беспроводные сети требуют установки специального программного обеспечения, ведь используемая среда передачи данных предоставляет массу возможностей для их перехвата.
Так как роутеры получили широкое распространение не только в корпоративных сетях, но и в домашних, даже несколько ноутбуков, смартфонов, планшетов, которыми вы пользуетесь каждый день, следует дополнительно защитить. Дополнительная проверка приходящих (отправляемых) пакетов дает возможность определить, принадлежат ли они выбранному соединению.
Организация передачи данных, виды защит
При установлении соединения между несколькими пользователями на конечном устройстве открывается определенный порт, который могут использовать злоумышленники для отправки вредоносного софта. Один из наиболее удобных моментов для этой процедуры – момент завершения сессии, после которого порт остается открытым еще несколько минут.
Технология инспекции пакетов с хранением состояния (SPI) дает возможность защититься от внезапных атак с помощью проверки входящего трафика. Если активирован такой режим фильтрации на маршрутизаторе, анализу подвергаются все поступающие из сети пакеты, при этом запоминается текущее состояние сети.
Проверка пакетов проводится на их соответствие таким требованиям:
Если при анализе пакет признается некорректным и не соответствующим параметрам сессии, он блокируется. Отчет о данном событии фиксируется в логе и может быть впоследствии просмотрен администратором сети или пользователем с соответствующими правами.
Если исходящий компьютер заражен вирусами или на нем установлено шпионское ПО, межсетевой экран надежно блокирует все поступающие с него пакеты.
В качестве брандмауэра может использоваться аппаратное обеспечение или программные продукты. На роутерах устанавливается первый тип защиты. Современные операционные системы включают в себя встроенные программные средства, позволяющие выявлять, вовремя блокировать некорректный трафик. Но ответственные пользователи могут еще установить стороннее программное обеспечение, выполняющее функции межсетевого экрана.
Работа роутера как аппаратного брандмауэра
Своевременная установка патчей от производителей операционных систем – один из способов своевременно выявлять уязвимости портов компьютера и мобильных устройств. Но может ли маршрутизатор полностью взять на себя функции защиты домашней или корпоративной сети?
Для совместного использования одного IP-адреса домашние роутеры преобразуют сетевые адреса транзитных пакетов. Это дает возможность одновременно выходить в Сеть нескольким ноутбукам, смартфонам и другой технике. Поэтому при поступлении входящего пакета домашний роутер не знает, на какое устройство его направить. Изменяя настройки маршрутизатора, можно установить требуемый уровень защиты, чтобы устройство отбрасывало некорректные пакеты, работая как надежный брандмауэр.
Один из способов борьбы с вредоносным и подозрительным трафиком – организация «демилитаризованной зоны». Этот инструмент защиты обрабатывает весь объем входящих пакетов, перенаправляя данные на конкретную машину.
Принципы защиты программных брандмауэров
Такой тип межсетевого экрана играет роль стражника на компьютере, фильтруя трафик и пропуская только корректные пакеты, не вызывающие подозрений при проверке встроенными алгоритмами.
Брандмауэр ОС Windows запускается при старте системы, может тонко настраиваться самим пользователем. Такой файрвол сразу определяет, какое приложение запрашивает доступ к интернету, чтобы проанализировать его работу, заблокировать либо разрешить отправку (прием) пакетов данных.
Использовать встроенный брандмауэр Windows или устанавливать ПО стороннего производителя – дело вкуса пользователя. Но, несмотря на то, что способы фильтрации трафика каждый год совершенствуются, не менее изобретательными становятся разработчики вредоносных программ.
Сравнение аппаратного и программного брандмауэра
Аппаратный тип защиты от опасного трафика установлен на широкополосных модемах и маршрутизаторах. Такие системы определяют, можно ли доверять приходящим пакетам, IP-адресам, с которых они поступают, используемым заголовкам. Любые ссылки, имеющие признаки вредоносного ПО, блокируются и просто не попадают в домашнюю сеть. Аппаратные брандмауэры не требуют настроек, их алгоритмы работы определены производителем, защищены от постороннего вмешательства.
Современная система предотвращения вторжений:
При решении о приобретении аппаратной защиты учитывается тип сети – корпоративная или домашняя, количество пользователей, ценовая политика производителей, наличие технической поддержки и автоматического обновления.
Программный брандмауэр может заблокировать не только входящие, но исходящие соединения. Поэтому если даже первая ступень защиты пройдена вредоносным софтом, в дело вступит следующий активный щит. Пользователь может настраивать правила поведения по отношению к установленным на компьютере программам и запуску новых приложений. А также определить строгие ограничения для сетевого трафика, активности браузерных приложений.
Преимущества аппаратного брандмауэра:
Достоинства программного брандмауэра:
Нужны ли оба способа защиты?
Для пользователя домашней или корпоративной сети важно использовать хотя бы один из способов фильтрации трафика – программный или аппаратный (как вариант, встраиваемый в маршрутизатор). А для полноценной защиты можно воспользоваться достоинствами каждой из предлагаемой технологии.
При наличии аппаратного брандмауэра на роутере будет полезно задействовать и встроенные в Windows средства фильтрации трафика. А если вы хотите максимально обезопасить свою домашнюю сеть от несанкционированного доступа, воспользуйтесь несложными правилами.
1. Измените пароль доступа к маршрутизатору по умолчанию
Чтобы изменить настройки роутера, нужно зайти в его сетевой интерфейс, используя логин и пароль. Как правило, установленные по умолчанию данные указывает производитель в документации к оборудованию. Злоумышленники хорошо осведомлены о дефолтных способах доступа, поэтому обязательно укажите новые пароль, логин, чтобы снять этот тип уязвимости.
2. Защитите паролем доступ к локальной сети
В некоторых случаях пользователи оставляют доступ к сети открытым, без какого-либо типа шифрования данных, или выбирают для защиты элементарные пароли. При необходимости взлома хакеры быстро подбирают комбинации типа «12345» или «qwerty», поэтому придумайте настоящий пароль для доступа к своей сети. Для этого в него нужно включить не только буквы и цифры, но и символы.
3. Отключите WPS
Чтобы быстро наладить защищенную связь между беспроводными маршрутизаторами, была разработана технология Wi-Fi Protected Setup. Этот способ хорош тем, что пользователю не нужно заходить в веб-интерфейс для изменения настроек, а можно воспользоваться кнопкой на роутере.
Но такая система безопасности может быть взломана подбором вариантов, т.к. не предусматривает ограничения по количеству попыток ввода комбинаций пароля. С помощью простых утилит хакеры смогут быстро подобрать нужный пароль для WPS, а затем вычислят и параметры сетевого доступа. Поэтому сразу зайдите в админ-панель и отключите связь по Wi-Fi Protected Setup.
4. Смените имя SSID
Организованной дома или на рабочем месте беспроводной сети присваивается уникальный идентификатор SSID. Это название по умолчанию выбирает производитель, и если вы оставите его неизменным, злоумышленникам будет намного проще взломать стандартные параметры защиты. А в качестве дополнительной меры предосторожности можно выбрать опцию «Скрывать трансляцию SSID», чтобы не знающие имени сети пользователи даже не видели ее со своих устройств.
5. Измените IP маршрутизатора
Присваиваемый роутеру по умолчанию внутренний IP-адрес можно изменить, чтобы затруднить попытки несанкционированного взлома оборудования.
6. Отключите опцию удаленного администрирования
Многие домашние роутеры поддерживают доступ к своим внутренним настройкам через сеть Интернет. Но если эту возможность заблокировать, такое решение уменьшит количество возможных способов взлома оборудования извне.
7. Обновите внутреннюю прошивку
Известные производители маршрутизаторов регулярно выпускают новые версии микропрограмм, в которых исправляются обнаруженные в предыдущих версиях уязвимости. Постоянно обновляя прошивку своего оборудования, вы поддерживаете уровень защиты на необходимом уровне.
8. Включите брандмауэр маршрутизатора
Предусмотренные производителем способы защиты сети в сочетании с программными средствами ОС значительно повышают уровень безопасности во время доступа к интернету.
9. Отключите фильтрацию по MAC-адресам
С помощью подмены одного из MAC-адресов, которые быстро сканируются хакерами, они получают еще одну лазейку в ваш компьютер.
10. Перейдите на другой DNS-сервер
Альтернативные DNS-сервера OpenDNS или Google могут автоматически блокировать опасный трафик, фишинговые запросы, атаки вирусов и попытки ботов проникнуть в сеть.
11. Установите альтернативную микропрограмму
Если заменить прошивку, установленную производителем, на написанную под заказ, вы не только сможете расширить функционал маршрутизатора, но заранее перекрыть все известные точки входа, используемые хакерами.
Что такое межсетевой экран и почему он должен быть сертифицирован ФСТЭК: простое объяснение
Обычно у компании есть внутренняя сеть: серверы, компьютеры сотрудников, маршрутизаторы. В этой сети хранится конфиденциальная информация: корпоративная тайна, персональные данные, данные сотрудников. Внутренняя сеть соединяется с глобальным интернетом, и это опасно — злоумышленники могут использовать такое соединение, чтобы похитить данные.
Для защиты устанавливают межсетевые экраны — программы или устройства, которые охраняют границы корпоративной сети. Расскажем, как они работают и зачем выбирать экраны, сертифицированные ФСТЭК.
Что такое межсетевой экран
Межсетевой экран (МЭ, файрвол, брандмауэр) — инструмент, который фильтрует входящий и исходящий сетевой трафик. Он анализирует источник трафика, время передачи, IP-адрес, протокол, частоту сообщений и другие параметры, после чего принимает решение: пропустить или заблокировать трафик.
У межсетевых экранов бывают стандартные настройки — например, он может блокировать все входящие подключения или исходящие пакеты от определенных приложений. Для корпоративных целей экраны, как правило, настраивают дополнительно — задают протоколы, порты, разрешения для приложений. Обычно этим занимается системный администратор или специалист по информационной безопасности.
Классический межсетевой экран не изучает передаваемые данные, не ищет вредоносный код, ничего не шифрует и не расшифровывает. Он работает только с сетевыми параметрами соединения, а точнее — с признаками отдельных IP-пакетов, из которых состоит это соединение, такими как IP-адреса соединяющихся компьютеров и некоторые другие параметры.
Упрощенная схема работы файрвола
Межсетевой экран выступает в качестве барьера между двумя сетями, например, внутренней сетью компании и интернетом. Он защищает от:
Чаще всего межсетевой экран устанавливают на границе корпоративной сети и интернета. Но можно поставить его и внутри корпоративной сети, чтобы создать отдельную, особо защищенную сеть. Например, дополнительно фильтровать трафик к серверам с самыми секретными данными. Кроме того, экран может стоять на отдельном компьютере и защищать только его. В этом случае его иногда называют сетевым (а не межсетевым), однако по классификации ФСТЭК он также будет относиться к межсетевым экранам.
Ниже мы рассматриваем варианты МЭ, которые отражены в документации ФСТЭК — это классические серверные и десктопные экраны. Поэтому мы не рассматриваем все современные варианты МЭ: брандмауэры для смартфонов, средства фильтрации трафика для беспроводных соединений, а также современные устройства для более сложной фильтрации, чем по признакам сетевых соединений (IP-пакетов), такие как DPI.
Итак, переходим к вариантам межсетевых экранов, описанным в документации ФСТЭК.
Какие бывают межсетевые экраны по документации ФСТЭК
Межсетевые экраны бывают двух видов: аппаратные и программные. Они выполняют одинаковые функции, но работают немного по-разному:
Аппаратные МЭ обычно стоят на границе сети, например, там, где внутренняя сеть подключается к интернету. Программные стоят на узлах самой внутренней сети, то есть защищают непосредственно компьютеры и серверы.
Аппаратные МЭ дороже, но надежнее, обеспечивают более серьезную защиту. Программные дешевле, но менее надежны — есть риск, что трафик от злоумышленника успеет навредить сети. Кроме того, программные межсетевые экраны часто настолько нагружают компьютер, на который установлены, что там ничего больше нельзя установить. Из-за этого для них иногда выделяют отдельный сервер — и этот сервер фактически играет роль аппаратного межсетевого экрана.
Кому и зачем нужен межсетевой экран, сертифицированный ФСТЭК
Если компания хранит персональные данные, то, согласно 152-ФЗ, она обязана обеспечить им защиту. Чтобы защищать данные в соответствии с требованиями закона, компании нужно использовать средства защиты, сертифицированные ФСТЭК. Такой сертификат подтверждает, что программа или устройство действительно надежно защищает данные. ФСТЭК сертифицирует в том числе межсетевые экраны — как программные, так и аппаратные.
То есть, если вы храните в базах данных информацию о своих сотрудниках или клиентах, вы работаете с персональными данными, а значит, обязаны обеспечить им защиту. Иногда это подразумевает, что нужно задействовать сертифицированный ФСТЭК межсетевой экран.
Если вы не храните гостайну или персональные данные, необязательно устанавливать именно сертифицированный ФСТЭК межсетевой экран. Но если вы заботитесь о секретности ваших данных, при выборе экрана имеет смысл обратить внимание на сертификат — он подтвердит, что выбранный МЭ действительно надежный.
Виды межсетевых экранов по классификации ФСТЭК
Для сертификации межсетевого экрана ФСТЭК определяет его профиль защиты. Профиль нужно знать, чтобы понять, в какой конкретно системе, с какими целями и для защиты каких данных можно использовать этот экран.
К каждому профилю есть конкретные технические требования, а сам профиль зависит от двух параметров: типа МЭ и его класса защиты.
Типы межсетевых экранов по ФСТЭК:
Классы защиты межсетевых экранов по ФСТЭК:
Типы и классы защиты не зависят друг от друга напрямую. Например, может существовать экран типа «А» с 6 классом защищенности или экран типа «В» с 1 классом.
Комбинация типа и класса защиты определяет профиль защиты каждого конкретного межсетевого экрана. И именно от профиля зависят технические требования к МЭ.
Таблица определения профиля защиты межсетевого экрана. Для некоторых профилей нет 1, 2 и 3 уровней защиты — такие экраны не используют для хранения гостайны
Получается, что профилей защиты всего 24. На сайте ФСТЭК выложены требования к 15 профилям — ко всем, кроме тех, что требуют 1, 2 и 3 уровня защиты. Эти профили — закрытая информация, так как они используются для хранения гостайны.
Пример: представим, что компании нужно установить межсетевой экран на компьютер сотрудника. Сотрудник работает с персональными данными 3 уровня защищенности — значит, ей нужен межсетевой экран 6 уровня защиты и типа «В», для установки на узел сети. Это экран с профилем ИТ.МЭ. В6.ПЗ. Получается, нужно искать межсетевой экран с сертификатом, соответствующим выбранному профилю. Профили более высокого уровня тоже подойдут — например, можно поставить и экран ИТ.МЭ. В4.ПЗ.
Если этой же компании понадобится межсетевой экран на границе сети, это будет уже экран типа «А» и того же 6 уровня защищенности — экран профиля ИТ.МЭ. А6.ПЗ.
Что такое сетевой экран?
Сетевой экран действует как защита локального компьютера от вирусов, червей, троянских программ и хакерских атак.
Сетевой экран это программный (защитное решение) или аппаратный (физический маршрутизатор) элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.
Сетевые экраны сканируют каждый «пакет» данных (небольшие куски большого целого, уменьшенные по размеру для удобства передачи), чтобы убедиться, что в них не содержится вредоносных элементов.
Существует несколько принципов обработки поступающего трафика. Во-первых, сетевой экран может отображать все запросы на доступ к компьютеру из внешних сетей и анализировать запрашивающий сервис: есть ли у него известное доменное имя и интернет-адрес.
Сетевые экраны также могут полностью изучить каждый пакет входящих данных на наличие в нем строк кода, находящегося в черном списке.
Наконец, сетевые экраны могут оценивать пакеты на основе их сходства с другими пакетами, которые были недавно отправлены и получены.
Если пакеты находятся в рамках допустимых уровней сходства, они распознаются как разрешенные.
Преимущества
Целью сетевого экрана тоже является блокировка всего, что может «сжечь» компьютер пользователя.
Без сетевых экранов не обходятся ни разработчики ПО, ни поставщики услуг по обеспечению безопасности.
Операционные системы Windows поставляются со встроенным сетевым экраном, и его, как правило, рекомендуется оставлять включенным.
Но в домашней сети для фильтрации сетевого трафика рекомендуется использовать аппаратное решение, такое как маршрутизатор.
Компании-разработчики защитного ПО обычно включают сетевые экраны в свои антивирусные решения.
Во многих случаях это сетевые экраны более высокой сложности, чем те, которые входят в состав базовой операционной системы.
В список стандартных функции сетевых экранов входят регистрация и создание отчетов об атаках (успешные или нет), а также уведомлениями в случае несанкционированного вторжения.
Недостатки
Среди потенциальных недостатков – замедление сетевого трафика, особенно если пакеты полностью анализируются на локальном компьютере пользователя.
Кроме того, некоторые сетевые экраны могут случайно заблокировать легитимные сайты, но это можно исправить, если добавить их в список сайтов-исключений на панели управления сервиса.
Firewall в роутере для чего нужен
Беспроводная сеть нуждается в тщательной защите, ведь возможности для перехвата информации здесь создаются самые благоприятные. Поэтому, если с помощью маршрутизатора (роутера) в сеть объединяется несколько компьютеров, сетевой экран должен стоять и использоваться не только на каждом компьютере, но и на роутере. Например, функцию сетевого экрана в роутере серии DI-XXX выполняет SPI, осуществляющая дополнительную проверку пакетов. Предметом проверки является принадлежность пакетов к установленному соединению.
Во время сессии соединения открывается порт, который могут пытаться атаковать посторонние пакеты, особенно благоприятный момент для этого – когда сессия завершена, а порт остается открытым еще несколько минут. Поэтому SPI запоминает текущее состояние сессии и анализирует все входящие пакеты. Они должны соответствовать ожидаемым – приходить с того адреса, на который был отправлен запрос, иметь определенные номера. Если пакет не соответствует сессии, то есть является некорректным, он блокируется, и это событие регистрируется в логе. Еще сетевой экран на роутере позволяет блокировать исходящие соединения с зараженного компьютера.
Беспроводная сеть нуждается в тщательной защите, ведь возможности для перехвата информации здесь создаются самые благоприятные. Поэтому, если с помощью маршрутизатора (роутера) в сеть объединяется несколько компьютеров, сетевой экран должен стоять и использоваться не только на каждом компьютере, но и на роутере. Например, функцию сетевого экрана в роутере серии DI-XXX выполняет SPI, осуществляющая дополнительную проверку пакетов. Предметом проверки является принадлежность пакетов к установленному соединению.
Во время сессии соединения открывается порт, который могут пытаться атаковать посторонние пакеты, особенно благоприятный момент для этого – когда сессия завершена, а порт остается открытым еще несколько минут. Поэтому SPI запоминает текущее состояние сессии и анализирует все входящие пакеты. Они должны соответствовать ожидаемым – приходить с того адреса, на который был отправлен запрос, иметь определенные номера. Если пакет не соответствует сессии, то есть является некорректным, он блокируется, и это событие регистрируется в логе. Еще сетевой экран на роутере позволяет блокировать исходящие соединения с зараженного компьютера.
Существует два типа брандмауэров: аппаратные брандмауэры и программные брандмауэры. Ваш маршрутизатор функционирует как аппаратный брандмауэр, в то время как Windows включает в себя программный брандмауэр. Есть и другие сторонние брандмауэры, которые вы можете установить.
В августе 2003 года, если вы подключили незашифрованную систему Windows XP к Интернету без брандмауэра, он мог быть заражен в течение нескольких минут червем Blaster, который использовал уязвимости в сетевых службах, которые Windows XP открыла в Интернете.
В дополнение к демонстрации важности установки патчей безопасности это демонстрирует важность использования брандмауэра, который предотвращает доступ входящего сетевого трафика к вашему компьютеру. Но если ваш компьютер находится за маршрутизатором, действительно ли вам нужен программный брандмауэр?
Как маршрутизаторы функционируют в виде аппаратных брандмауэров
Домашние маршрутизаторы используют преобразование сетевых адресов (NAT) для совместного использования одного IP-адреса из вашего интернет-сервиса между несколькими компьютерами в вашей семье. Когда входящий трафик из Интернета достигает вашего маршрутизатора, ваш маршрутизатор не знает, к какому компьютеру пересылать его, поэтому он отбрасывает трафик. Фактически NAT действует как брандмауэр, который предотвращает доступ входящих запросов к вашему компьютеру. В зависимости от вашего маршрутизатора вы также можете блокировать определенные типы исходящего трафика, изменяя настройки вашего маршрутизатора.
Вы можете перенаправить маршрутизатор на какой-то трафик, настроив переадресацию портов или поместив компьютер в DMZ (демилитаризованная зона), куда направляется весь входящий трафик. DMZ, по сути, перенаправляет весь трафик на конкретный компьютер — компьютер больше не будет использовать маршрутизатор, действующий как межсетевой экран.
Как работают программные брандмауэры
На вашем компьютере работает программный брандмауэр. Он действует как привратник, позволяя осуществлять некоторый трафик и отбрасывать входящий трафик. Сама Windows включает встроенный программный брандмауэр, который по умолчанию был включен в Windows XP с пакетом обновления 2 (SP2). Поскольку программные брандмауэры запускаются на вашем компьютере, они могут контролировать, какие приложения хотят использовать Интернет, блокировать и разрешать трафик для каждого приложения.
Если вы подключаете свой компьютер непосредственно к Интернету, важно использовать программный брандмауэр — вам не стоит беспокоиться об этом сейчас, когда брандмауэр поставляется с Windows по умолчанию.
Аппаратный и программный брандмауэр: сравнение
Брандмауэры аппаратного и программного обеспечения перекрываются несколькими важными способами:
Преимущества программного брандмауэра:
Преимущества аппаратного брандмауэра:
Вам нужны оба?
Важно использовать по крайней мере один тип брандмауэра — аппаратный брандмауэр (например, маршрутизатор) или программный брандмауэр. Маршрутизаторы и программные брандмауэры частично перекрываются, но каждый из них предоставляет уникальные преимущества.
Если у вас уже есть маршрутизатор, оставляя включенным брандмауэр Windows, вы получаете преимущества безопасности без реальной стоимости исполнения. Поэтому неплохо запустить оба.
Вам необязательно устанавливать сторонний программный брандмауэр, который заменяет встроенный брандмауэр Windows, но вы можете, если хотите больше функций.
C распространением широкополосного доступа в интернет и карманных гаджетов стали чрезвычайно популярны беспроводные роутеры (маршрутизаторы). Такие устройства способны раздавать сигнал по протоколу Wi-Fi как на стационарные компьютеры, так и на мобильные устройства – смартфоны и планшеты, – при этом пропускной способности канала вполне достаточно для одновременного подключения нескольких потребителей.
Сегодня беспроводной роутер есть практически в любом доме, куда проведён широкополосный интернет. Однако далеко не все владельцы таких устройств задумываются над тем, что при настройках по умолчанию они чрезвычайно уязвимы для злоумышленников. И если вы считаете, что не делаете в интернете ничего такого, что могло бы вам повредить, задумайтесь над тем, что перехватив сигнал локальной беспроводной сети, взломщики могут получить доступ не только к вашей личной переписке, но и к банковскому счёту, служебным документам и любым другим файлам.
Хакеры могут не ограничиться исследованием памяти исключительно ваших собственных устройств – их содержимое может подсказать ключи к сетям вашей компании, ваших близких и знакомых, к данным всевозможных коммерческих и государственных информационных систем. Более того, через вашу сеть и от вашего имени злоумышленники могут проводить массовые атаки, взломы, незаконно распространять медиафайлы и программное обеспечение и заниматься прочей уголовно наказуемой деятельностью.
Между тем, чтобы обезопасить себя от подобных угроз, стоит следовать лишь нескольким простым правилам, которые понятны и доступны даже тем, кто не имеет специальных знаний в области компьютерных сетей. Предлагаем вам ознакомиться с этими правилами.
1. Измените данные администратора по умолчанию
Чтобы получить доступ к настройкам вашего роутера, необходимо зайти в его веб-интерфейс. Для этого вам нужно знать его IP-адрес в локальной сети (LAN), а также логин и пароль администратора.
Внутренний IP-адрес роутера по умолчанию, как правило, имеет вид 192.168.0.1, 192.168.1.1, 192.168.100.1 или, например, 192.168.123.254 – он всегда указан в документации к аппаратуре. Дефолтные логин и пароль обычно также сообщаются в документации, либо их можно узнать у производителя роутера или вашего провайдера услуг.
Вводим IP-адрес роутера в адресную строку браузера, а в появившимся окне вводим логин и пароль. Перед нами откроется веб-интерфейс маршрутизатора с самыми разнообразными настройками.
Ключевой элемент безопасности домашней сети – возможность изменения настроек, поэтому нужно обязательно изменить все данные администратора по умолчанию, ведь они могут использоваться в десятках тысяч экземпляров таких же роутеров, как и у вас. Находим соответствующий пункт и вводим новые данные.
В некоторых случаях возможность произвольного изменения данных администратора заблокирована провайдером услуг, и тогда вам придётся обращаться за помощью к нему.
2. Установите или измените пароли для доступа к локальной сети
Вы будете смеяться, но всё ещё встречаются случаи, когда щедрый обладатель беспроводного роутера организует открытую точку доступа, к которой может подключиться каждый. Гораздо чаще для домашней сети выбираются псевдопароли типа «1234» или какие-то банальные слова, заданные при установке сети. Чтобы минимизировать вероятность того, что кто-то сможет с лёгкостью забраться в вашу сеть, нужно придумать настоящий длинный пароль из букв, цифр и символов, и установить уровень шифрования сигнала – желательно, WPA2.
3. Отключите WPS
Технология WPS (Wi-Fi Protected Setup) позволяет быстро наладить защищённую беспроводную связь между совместимыми устройствами без подробных настроек, а лишь нажатием соответствующих кнопок на роутере и гаджете или путём ввода цифрового кода.
Между тем, у этой удобной системы, обычно включённой по умолчанию, есть одно слабое место: поскольку WPS не учитывает число попыток ввода неправильного кода, она может быть взломана «грубой силой» путём простого перебора с помощью простейших утилит. Потребуется от нескольких минут до нескольких часов, чтобы проникнуть в вашу сеть через код WPS, после чего не составит особого труда вычислить и сетевой пароль.
Поэтому находим в «админке» соответствующий пункт и отключаем WPS. К сожалению, внесение изменений в настройки далеко не всегда действительно отключит WPS, а некоторые производители вообще не предусматривают такой возможности.
4. Измените наименование SSID
Идентификатор SSID (Service Set Identifier) – это название вашей беспроводной сети. Именно его «вспоминают» различные устройства, которые при распознавании названия и наличии необходимых паролей пытаются подключиться к локальной сети. Поэтому если вы сохраните стандартное название, установленное, например, вашим провайдером, то есть вероятность того, что ваши устройства будут пытаться подключиться ко множеству ближайших сетей с тем же самым названием.
При этом часто встречающийся совет скрывать трансляцию SSID, а такая опция стандартна для подавляющего большинства роутеров, на самом деле несостоятелен. Дело в том, что все устройства, пытающиеся подключиться к вашей сети, в любом случае будут перебирать ближайшие точки доступа, и могут подключиться к сетям, специально «расставленным» злоумышленниками. Иными словами, скрывая SSID, вы усложняете жизнь только самим себе.
5. Измените IP роутера
Чтобы ещё более затруднить несанкционированный доступ к веб-интерфейсу роутера и его настройкам, измените в них внутренний IP-адрес (LAN) по умолчанию.
6. Отключите удалённое администрирование
Для удобства технической поддержки (в основном) во многих бытовых роутерах реализована функция удалённого администрирования, при помощи которой настройки роутера становятся доступны через интернет. Поэтому, если мы не хотим проникновения извне, эту функцию лучше отключить.
При этом, однако, остаётся возможность зайти в веб-интерфейс через Wi-Fi, если злоумышленник находится в поле действия вашей сети и знает логин и пароль. В некоторых роутерах есть функция ограничить доступ к панели только при наличии проводного подключения, однако, к сожалению, эта опция встречается довольно редко.
7. Обновите микропрограмму
Каждый уважающий себя и клиентов производитель роутеров постоянно совершенствует программное обеспечение своего оборудования и регулярно выпускает обновлённые версии микропрограмм («прошивок»). В свежих версиях прежде всего исправляются обнаруженные уязвимости, а также ошибки, влияющие на стабильность работы.
Именно поэтому мы настоятельно рекомендуем регулярно проверять обновления микропрограмм и устанавливать их на свой роутер. В большинстве случаев это можно сделать непосредственно через веб-интерфейс.
Обратите внимание на то, что после обновления все сделанные вами настройки могут сброситься до заводских, поэтому есть смысл сделать их резервную копию – также через веб-интерфейс.
8. Перейдите в диапазон 5 ГГц
Базовый диапазон работы сетей Wi-Fi – это 2,4 ГГц. Он обеспечивает уверенный приём большинством существующих устройств на расстоянии примерно до 60 м в помещении и до 400 м вне помещения. Переход в диапазон 5 ГГц снизит дальность связи в два-три раза, ограничив для посторонних возможность проникнуть в вашу беспроводную сеть. За счёт меньшей занятости диапазона, вы сможете также заметить повысившуюся скорость передачи данных и стабильность соединения.
Минус у этого решения только один – далеко не все устройства работают c Wi-Fi стандарта IEEE 802.11ac в диапазоне 5 ГГц.
9. Отключите функции PING, Telnet, SSH, UPnP и HNAP
Если вы не знаете, что скрывается за этими аббревиатурами, и не уверены, что эти функции вам обязательно потребуются, найдите их в настройках роутера и отключите. Если есть такая возможность, вместо закрытия портов, выберите скрытый режим (stealth), который при попытках зайти на них извне сделает эти порты «невидимыми», игнорируя запросы и «пинги».
10. Включите брандмауэр роутера
Если в вашем роутере есть встроенный брандмауэр, то рекомендуем его включить. Конечно, это не бастион абсолютной защиты, но в комплексе с программными средствами (даже со встроенным в Windows брандмауэром) он способен вполне достойно сопротивляться атакам.
11. Отключите фильтрацию по MAC-адресам
Хотя на первый взгляд кажется, что возможность подключения к сети только устройств с конкретными MAC-адресами полностью гарантирует безопасность, в действительности это не так. Более того, оно делает сеть открытой даже для не слишком изобретательных хакеров. Если злоумышленник сможет отследить входящие пакеты, то он быстро получит список активных MAC-адресов, поскольку в потоке данных они передаются в незашифрованном виде. А подменить MAC-адрес не проблема даже для непрофессионала.
12. Перейдите на другой DNS-сервер
Вместо использования DNS-сервера вашего провайдера, можно перейти на альтернативные, например, Google Public DNS или OpenDNS. С одной стороны, это может ускорить выдачу интернет-страниц, а с другой, повысить безопасность. К примеру, OpenDNS блокирует вирусы, ботнеты и фишинговые запросы по любому порту, протоколу и приложению, и благодаря специальным алгоритмам на базе Больших Данных способен предсказывать и предотвращать разнообразные угрозы и атаки. При этом Google Public DNS – это просто скоростной DNS-сервер без дополнительных функций.
13. Установите альтернативную «прошивку»
И, наконец, радикальный шаг для того, кто понимает, что делает, – это установка микропрограммы, написанной не производителем вашего роутера, а энтузиастами. Как правило, такие «прошивки» не только расширяют функциональность устройства (обычно добавляются поддержка профессиональных функций вроде QoS, режима моста, SNMP и т.д), но и делают его более устойчивым к уязвимостям – в том числе и за счёт нестандартности.
Среди популярных open-source «прошивок» можно назвать основанные на Linux DD-WRT, OpenWrt и Tomato.