Сегодня, когда в большинстве домов можно поймать беспроводную интернет-сеть, вопрос о том, как поставить пароль на wifi принимает роль важного аспекта обеспечения безопасности данных. Создание надёжной «линии обороны» домашней сети — дело довольно ответственное, и имеет свои тонкости. Учитывая это, вам будет полезным принять на вооружения знания и советы, предложенные в данной статье.

План ознакомления с темой будет следующим:

  • Сначала мы раскроем основные существующие типы шифрования в сетях wifi;
  • Затем рассмотрим на обобщённом примере как запаролить сеть.

Шифрование в сетях WIFI

Личная информация, хранящаяся в файлах компьютера, подключённого к беспроводной сети, может быть доступной посторонним людям, не имеющим права на это. Другими словами, с плохим умыслом или нет, для развлечения или наживы, через сеть без пароля может быть получен несанкционированный доступ ко всему содержимому ПК. Для предотвращения этого и были разработаны различные методы шифрования, способные защитить пользователей. Далее о том, какие они существуют.

WEP

Данная технология (стандарт 802.11) была одной из первых систем, обеспечивающих безопасность wifi-сети. Она предоставляла слабую защиту, из-за чего часто взламывалась хакерами с целью похищения важной информации. Результатом этого стало значительное замедление внедрения wifi-сетей в компаниях и деловых организациях. У руководителей не было и малейшей уверенности в конфиденциальности передаваемых, посредством беспроводной связи, данных. Кроме того, в этой системе не было предусмотрено возможности устанавливать пароль.

Решением данной проблемы занялся институт IEEE, который организовал 802.11i — рабочую группу, начавшую создание новой модели шифрования данных, способной защитить сети wifi.

Результатом стало появление в 2004 году WPA (Wifi Protected Access или защищённого доступа). Новая система исправила недочёты старой благодаря сочетанию сразу нескольких технологий, способных решить проблему её уязвимости и поставить точку в истории лёгких взломов сетей.

WPA

Стандарт 802.1x, как уже говорилось выше, пришёл на замену 802.11. Основным отличием стала взаимная аутентификация и постоянная инкапсуляция данных, транслируемых между сервером и клиентскими точками доступа. Так же был расширен протокол аутентификации (EAP).

Предлагаем ознакомиться со схематичным изображением работы WAP и многих других систем безопасности (см.рис.)

Кроме того, в WAP были интегрированы способ временного протокола целостности ключей (TKIP) и MIC — контрольная сумма сообщения, предотвращающая любое изменение пакетов данных в процессе передачи. Работая вместе, данные технологии могут гарантированно защитить сеть, наделяя правом подключения к ней лишь владеющих паролем пользователей.

WPA2

Следующим рывком навстречу безопасности сетей стал выход программы WPA2 (802.11i). Лишь с её появлением беспроводные сети стали активно внедрять предприятия и компании, придающие конфиденциальности особую роль.

Важнейшей инновацией стало появление AES — 128-битного улучшенного алгоритма шифрования данных. Он позволяет поставить крест на работе «блокиратора» шифра, дающего возможность использовать один код как для аутентификации, так и для шифрования. Теперь стало обязательным использование разных шифров для каждой из этих операций. Так же добавили кэширование ключа и предварительную аутентификацию пользователей (для их упорядочивания по точкам доступа).

Существуют модификации стандарта 802.11i:

  • 802.11r — технология, специализирующаяся на быстрой и надёжной передачи ключевых иерархий, основанных на алгоритме Handoff. Данный стандарт wifi полностью совместим с модификациями 802.11a/b/g/n.
  • 802.11w — предназначен для улучшения механизма, отвечающего за безопасность, посредством повышенного внимания к защите управляющих пакетов на основе 802.11i. Оба данных стандарта принадлежат к группе 802.11n.

Таким образом, использование последнего (WPA2) стандарта при организации безопасности беспроводной сети очевидно.

Хватит теории. Следующим шагом должна стать организация защиты wifi паролем, рассмотрением которой мы сейчас и займёмся.

Пароль для wifi — нюансы установки

Беспроводная сеть даёт возможность подключать различные устройства к интернету в радиусе, далеко выходящем за пределы квартиры. Поэтому, если ваш wifi не защищён паролем, им вполне смогут воспользоваться соседи. И одно дело, если такой несанкционированный «визит» будет нанесён только ради получения бесплатного интернета, и совсем другое — если его целью окажется получение личной информации для совершения мошеннических действий.

Следовательно, установка пароля на wifi является первоочередной задачей после создания и настройки сети.

Данная процедура может иметь небольшие отличия при работе с разными моделями роутеров. Но, несмотря на это, существует один общий алгоритм настройки, применяемый во всех случаях.

Шаг 1

Первой операцией, необходимой для того, чтобы запаролить сеть, является вход в настройки роутера.

В комплекте с ним идёт компакт-диск, предназначенный облегчить настройку оборудования. Но если вы затрудняетесь с его поиском, можете воспользоваться веб-интерфейсом роутера. В этом случае вам нужно будет запустить веб-браузер и ввести в строку адреса специальный код (конструкцию, состоящую из «http://» и «IP роутера»). Стандартные адреса для большинства роутеров начинаются с «192.168.», а далее следуют: «1.1», «0.1», «2.1» (например, 192.168.1.1). Какой из них подойдёт в вашем случае? Это можно узнать, взглянув на заднюю крышку маршрутизатора (для 99% случаев), либо посмотрев в интернете.

Учтите следующее:

  • Заходить в настройки роутера лучше с компьютера, соединённого с ним с помощью Ethenet-кабеля. При использовании связи wifi придётся каждый раз, после любого изменения, повторять процедуру входа.
  • В качестве имени и пароля от роутера почти всегда выступает «admin». Если не подойдёт, полистайте инструкцию в поисках верного варианта, либо посмотрите на заднюю крышку устройства.
  • Если вы затрудняетесь вспомнить пароль, который успели поставить ранее, перезагрузите роутер кнопкой Reset. Это обнулит все пользовательские настройки устройства, вернув их к заводским установкам.

Шаг 2

Теперь нужно найти вкладку с названием, похожим на «Свойства безопасности сети». Находится она чаще всего в «Настойках Wifi» или разделе «Безопасность». Возникли трудности с обнаружением вкладки? Можете ввести название модели вашего роутера в поиск и установить её местонахождение.

Шаг 3

Далее нужно выбрать тип шифрования данных. В современных моделях предусмотрено использование различных методов защиты сети. Об особенностях каждого мы говорили в начале статьи. И, как обсуждалось там же, наиболее целесообразно сегодня использовать WPA2 в силу его наивысшей надёжности.

  • Важно! На старых моделях роутеров может отсутствовать возможность применения WPA2. Поэтому нужно поставить либо WPA, либо сменить устройство на более современное.

ШАГ 4

После выбора метода шифрования, необходимо установить его алгоритм. Для WPA2-Personal нужно поставить AES. Другой — TKIP — сильно уступает первому в надёжности, и использовать его не желательно.

Важно! В некоторых моделях роутеров уже даже не предусмотрен TKIP, так как он устарел и не может обеспечить нужный уровень защиты.

Шаг 5

Вот мы и достигли важнейшего этапа всей процедуры. Вам нужно определиться с SSID (именем точки доступа) и поставить пароль на wifi (другими словами, указать кодовое слово или запаролить сеть).

При подборе секретной фразы, учтите:

  • Паролем должна стать комбинация как из цифр, так и символов, и очень хорошо, если они будут расположены вперемешку. Усложнив таким образом секретный код, вы сможете задать трудную задачу недоброжелателям, желающим подобрать его.
  • Интернет завален множеством генераторов простых паролей, с помощью которых те взламываются за считанные секунды.

Шаг 6. Последний

Осталось только сохранить новые настройки и произвести перезагрузку маршрутизатора. Нажимайте на «Применить» («сохранить», «save», «apply»…), и все изменения будут готовы вступить в силу. Произойдёт же это только после перезагрузки роутера. В большинстве случаев, маршрутизатор начнёт самостоятельную перезагрузку, а все подключенные устройства в обязательном порядке отключатся от wifi. Чтобы поставить их в известность об изменениях в сети, придётся заново установить соединение и ввести новый пароль, указанный шагом ранее.

Важно помнить:

  • Если автоматическая перезагрузка не началась после сохранения, нужно будет произвести её вручную. Необходимо отсоединить роутер от сети питания, посчитать до 10, а затем снова включить его. Приступать к работе можно будет после того, как он выполнит начальную загрузку. О её завершении сообщат световые индикаторы, перестав хаотично мигать.
  • Такая перезагрузка отличается от полученной в результате нажатия на кнопку RESET! Последняя сотрёт все ваши настройки, обнулив их до начальных (заводских).
  • Для профилактики сетевых вторжений рекомендуется менять пароль хотя бы два раза в год.

Помните, в вашем распоряжении есть всё необходимое, чтобы не поставить под угрозу безопасность личных данных. Главное, научиться пользоваться методами защиты беспроводной сети.

Большинство из нас давно пользуются Wi-Fi-роутером для беспроводного доступа к интернету. Но такое соединение нужно защищать, иначе им смогут пользоваться посторонние, что приведёт к ухудшению сигнала, а в худшем случае - к его пропаже.

Практически все мы знаем о том, что на Wi-Fi нужно обязательно ставить пароль, но есть ещё несколько способов обезопасить свою сеть . Мы рассмотрим, как установить хороший ключ для защиты сети и использовать в комплексе все доступные меры безопасности для роутера.

Поскольку у большинства маршрутизаторов IP-адрес является стандартным, любой посторонний может ввести его в своём устройстве и получить доступ к настройкам. Поэтому, прежде чем изменять их, нужно закрыть вход в параметры роутера , изменив логин и пароль.

Зачастую во всех моделях, независимо от производителя, для заполнения обеих этих строк используется слово Admin. Нам следует установить новое имя и ключ, чтобы другие люди не могли изменить конфигурацию оборудования.

Для этого сделайте следующее:

  • Зайдите в раздел System Tools.
  • Выберите вкладку Password, внесите стандартные и новые данные для входа в настройки - придумайте оригинальные логин и пароль, которые будет невозможно угадать посторонним, но легко запомнить вам.

Установка пароля на Wi-Fi

Пароль - это базовое средство защиты беспроводной сети. Чтобы защитить её при помощи хорошей и сложной комбинации в качестве ключа, нужно зайти в настройки роутера. Мы будем рассматривать, как это происходит на моделях марки TP-Link. Итак, впишите свой IP-адрес в браузере, выберите раздел Wireless. Здесь мы выбираем пункт Wireless Settings, где появится меню паролей.

Введите старый код, новые данные для входа и повторите их в нижней строке. Не забудьте сохранить изменения!

Как создать хороший ключ?

  • Используйте цифры и буквы, комбинируйте заглавные и строчные символы.
  • Сделайте код длинным - от восьми до двенадцати знаков.
  • Наиболее надёжный тип шифрования - WPA-PSK.

Изменение названия роутера

Идентификатор SSID подразумевает под собой название точки Wi-Fi , его нам выбивает в списке включённых сетей. Благодаря имени мы знаем, к какой точке доступа нам подключиться, выбирая её из перечня среди остального оборудования.

Но имя подключения доступно не только нам, но и всем, кто находится в зоне покрытия роутера. Поэтому, кроме создания хорошего ключа, стоит скрыть идентификатор SSID, чтобы он был невидимым в списке подключений при поиске сети через Wi-Fi.

Чтобы скрыть имя маршрутизатора, сделайте следующее:

  • Зайдите в его настройки через адресную строку браузера.
  • Перейдите в раздел Wireless и удалите флажок напротив пункта Enable SSID Broadcast.

Остаётся один вопрос: как подключится к сети, если она не отображается в списке? Для этого выберите ниже пункт создания нового подключения в списке поиска доступных сетей, вручную введите логин и пароль. Если все данные вписаны корректно, вы подсоединитесь к интернету.

Фильтрация MAC-адресов

Точку Wi-Fi можно сделать видимой для отдельного ряда устройств, если внести их в список в настройках роутера. Делается это с использованием MAC-адреса - он имеется у каждого компьютера или ноутбука, смартфона.

Чтобы узнать его координаты на ПК, зайдите в Центр управления сетями через Панель управления, выберите своё интернет-подключение и просмотрите свойства. После нажатия «Сведения» вы увидите Физический адрес - это и есть идентификатор MAC.

На другой технике соответствующую информацию вы узнаете в разделе «Об устройстве».

Для ограничения доступа по MAC-адресу выполните такие действия:

  • Зайдите в настройки роутера и выберите раздел Wireless, далее остановитесь на меню Wireless MAC Filtering.
  • Здесь выберите строку Allow the stations specified by any enabled entries in the list to access. После сохранения параметров точка Wi-Fi станет открытой только для тех устройств, которые есть в списке.

Как добавить свой адрес в настройки? В этом же меню есть клавиша Add new…, с её помощью вы вносите все MAC-адреса, которым вы разрешите доступ к интернету.

У этого варианта защиты есть только один недостаток: если к Wi-Fi часто подключаются новые устройства, неудобно будет добавлять каждый раз их в список. Фильтрация по MAC-адресу не является абсолютно надёжной, но её стоит использовать в комплексе с другими мерами по защите своей сети от чужого оборудования.

Установка отдельных IP-адресов

Этот способ защиты более совершенен, чем предыдущий. Вы создаёте отдельный IP при помощи MAC-идентификатора каждого отдельного пользователя, а все остальные не смогут пользоваться Wi-Fi.

Для установки адреса, прежде всего, зайдите в настройках роутера в раздел DHCP и отключите одноимённый сервер, чтобы координаты подключения не определялись автоматически.

Ниже по странице вы увидите перечень для внесения оборудования, которому вы разрешите соединение. Прежде всего, добавьте в него свой компьютер. Чтобы сделать это, вам понадобиться его MAC-адрес, после чего на своё усмотрение придумайте для него отдельный IP-код. И так с каждым следующим устройством. Не забудьте изменить в настройках компьютера IP-адрес на тот, который вы присвоили ему в этом списке.

Как проверить, кто пользуется моим Wi-Fi?

Время от времени проверяйте, кто использует ваш Wi-Fi, чтобы наверняка быть уверенным в работе защитных механизмов роутера.

Воспользуйтесь настройками, выберите раздел Статистика. Здесь вы увидите MAC-адреса всей техники, которая пользуется вашим интернет-соединением. Зная MAC-адрес своего компьютера и остальных устройств, которым вы разрешили доступ , можно отсеять их и увидеть, нет ли в списке посторонних адресов других пользователей.

Является самым важным электронным устройством в их жизни. Он соединяет большинство других устройств с внешним миром и именно поэтому представляет максимальный интерес для хакеров.

К сожалению, многие роутеры для дома и малого бизнеса по умолчанию поставляются с небезопасной конфигурацией, обладают недокументированными учетными записями для управления, используют устаревшие службы и работают на старых версиях прошивок, которые легко взломать с помощью давно известных приемов. Часть из перечисленных проблем сами пользователи, увы, исправить не сумеют, но тем не менее можно предпринять целый ряд действий, чтобы защитить эти устройства как минимум от крупномасштабных автоматизированных атак.

Основные действия

Избегайте использования роутеров, предоставляемых провайдерами. Во-первых, они зачастую дороже. Но это не самая большая проблема. Такие маршрутизаторы, как правило, менее защищены, чем те модели, которые продают производители в магазинах. Очень часто они содержат жестко запрограммированные учетные данные для удаленной поддержки, которые пользователи не могут изменять. Обновления для измененных версий прошивок часто отстают по времени от релизов для коммерческих роутеров.

Измените пароль администратора по умолчанию. Многие роутеры поставляются с типовыми паролями администратора (admin/admin), и злоумышленники постоянно пытаются войти на устройства, используя эти общеизвестные учетные данные. После подключения к интерфейсу управления маршрутизатора через браузер в первый раз - его IP-адрес обычно находится на наклейке с нижней стороны или в руководстве пользователя - первое, что вам нужно сделать, это изменить пароль.

Кроме того, веб-интерфейс маршрутизатора управления не должен быть доступен из Интернета. Для большинства пользователей управлять роутером извне локальной сети просто не нужно. Однако если у вас все же есть потребность в удаленном управлении , рассмотрите возможность использовать VPN для создания защищенного канала подключения к локальной сети и только затем обращайтесь к интерфейсу маршрутизатора.

Даже внутри локальной сети стоит ограничить спектр IP-адресов, с которых можно управлять маршрутизатором. Если этот параметр доступен в вашей модели, лучше разрешить доступ с одного IP-адреса, который не входит в пул IP-адресов, назначаемых роутером через DHCP (протокол динамической конфигурации хостов). Например, вы можете настроить DHCP-сервер маршрутизатора для назначения IP-адресов от 192.168.0.1 до 192.168.0.50, а затем настроить веб-интерфейс, чтобы он принимал администратора только с адреса 192.168.0.53. Компьютер должен быть настроен вручную, чтобы использовать этот адрес лишь в том случае, когда необходимо администрировать роутер.

Включайте доступ к интерфейсу маршрутизатора по протоколу https, если имеется поддержка защищенного соединения, и всегда выходите, закрывая сессию по завершении настройки. Используйте браузер в режиме инкогнито или в приватном режиме, чтобы Cookies не сохранялись в автоматическом режиме, и никогда не позволяйте браузеру сохранять имя пользователя и пароль интерфейса роутера.

Если это возможно, измените IP-адрес роутера. Чаще всего роутерам назначается первый адрес в предопределенном диапазоне, например, 192.168.0.1. Если такая опция доступна, измените его на 192.168.0.99 или на какой-либо другой адрес, который легко запомнить и который не является частью пула DHCP. Кстати, весь спектр адресов используемых маршрутизатором также может быть изменен. Это позволяет защититься от фальшивых межсайтовых запросов (CSRF), когда атака происходит через браузеры пользователей и с применением типового IP-адреса, обычно присваиваемого таким устройствам.

Создавайте сложный пароль к Wi-Fi и выбирайте надежную защиту протокола. Протокол WPA2 (Wi-Fi Protected Access 2) лучше старых WPA и WEP, которые более уязвимы для атак. Если роутер предоставляет такую возможность, создайте гостевую беспроводную сеть, также защитив ее WPA2 и сложным паролем. Пусть посетители или друзья используют этот изолированный сегмент гостевой сети, а не вашу основную сеть. У них может и не быть злого умысла, но их устройства могут быть взломаны или заражены программами-злоумышленниками.

Отключите функцию WPS. Эта редко используемая функция предназначена для того, чтобы помочь пользователям настроить Wi-Fi, используя PIN-код, напечатанный на наклейке роутера. Однако во многих реализациях версий WPS, предоставляемых различными поставщиками, несколько лет назад была найдена серьезная уязвимость, которая позволяет хакерам взламывать сети. И поскольку будет трудно определить, какие конкретно модели роутеров и версии прошивки уязвимы, лучше просто отключить данную функцию на роутере, если он позволяет сделать это. Вместо этого можно подключиться к маршрутизатору через проводное соединение и через веб-интерфейс управления, например, настроить Wi-Fi с WPA2 и пользовательский пароль (без WPS вообще).

Чем меньше сервисов вашего роутера открыты для Интернета, тем лучше. Это особенно правильно в тех случаях, когда не вы включили их, а возможно, даже не знаете, что они делают. Такие сервисы, как Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell) и HNAP (Home Network Administration Protocol), вообще не должны активироваться для внешней сети, так как они потенциально несут в себе риски для безопасности. Впрочем, они также должны быть выключены и в локальной сети, если вы их не используете. Онлайн-сервисы, вроде Shields UP от Gibson Research Corporation (GRC), могут просто сканировать публичный IP-адрес вашего роутера в поиске открытых портов. Кстати, Shields Up способен вести отдельно сканирование именно для UPnP.

Следите, чтобы прошивка вашего роутера была свежей. Одни роутеры позволяют проверить обновления прошивки прямо из интерфейса, а другие - даже имеют функцию автоматического обновления. Но иногда эти проверки могут происходить некорректно из-за изменений на серверах производителя, например, по прошествии нескольких лет. Поэтому стоит регулярно проверять сайт производителя вручную, чтобы узнать, не появилось ли там обновление прошивки для вашей модели роутера.

Более сложные действия

Вы можете использовать сегментацию сети, чтобы изолировать ее от рискованного устройства. Некоторые потребительские роутеры предоставляют возможность создавать сети VLAN (виртуальные локальные сети) внутри крупной частной сети. Такие виртуальные сети можно использовать для изоляции устройств из категории Интернета Вещей (IoT), которые бывают полны уязвимостей, что неоднократно доказывали исследователи (Берд Киви рассматривал данную проблему в предыдущем номере «Мира ПК» - прим.ред.). Многими устройствами IoT можно управлять с помощью смартфона через внешние облачные сервисы . А поскольку они имеют доступ к Интернету, такие аппараты после начальной настройки не должны взаимодействовать со смартфонами напрямую по локальной сети. Устройства IoT часто используют незащищенные административные протоколы для локальной сети, так что злоумышленник сумеет легко взломать такое устройство, используя зараженный компьютер, если они оба находятся в одной сети.

Благодаря фильтрации MAC-адресов, можно не допустить опасные устройства в вашу сеть Wi-Fi. Многие роутеры позволяют ограничить перечень устройств, имеющих право входить в сеть Wi-Fi, по их MAC-адресу - уникальному идентификатору физической сетевой карты . Включение этой функции не позволит атакующему подключиться к Wi-Fi сети , даже если он сумеет украсть или подобрать пароль. Недостатком такого подхода является то, что ручное управление списком разрешенных устройств может быстро стать излишней административной нагрузкой для крупных сетей.

Проброс портов должен быть использован только в сочетании с IP-фильтрацией. Сервисы, запущенные на компьютере за роутером, не будут доступны из Интернета, если на роутере не определены правила переадресации портов. Многие программы пытаются открыть порты роутера автоматически через UPnP, что не всегда безопасно. Если вы отключите UPnP, эти правила можно будет добавить вручную. Причем некоторые роутеры даже позволяют указать IP-адрес или целый блок адресов, которые могут подключаться к определенному порту, чтобы получить доступ к тому или иному сервису внутри сети. Например, если вы хотите получить доступ к FTP-серверу на вашем домашнем компьютере , находясь на работе, то можете создать правило проброса порта 21 (FTP) в вашем роутере, но разрешить подключения только с блока IP-адресов вашей фирмы.

Кастомные прошивки могут быть более безопасными, чем заводские. Существует несколько основанных на Linux и поддерживаемых сообществом проектов прошивок для широкого спектра домашних роутеров. Они, как правило, предлагают расширенные функции и настройки по сравнению с имеющимися у заводской прошивки, а сообщество быстрее исправляет их недостатки, чем сами производители роутеров. Поскольку эти микропрограммы позиционируются для энтузиастов, число устройств, которые их используют, гораздо меньше, чем устройств с прошивкой от производителя. Это значительно снижает вероятность обширных атак на кастомные прошивки. Тем не менее очень важно иметь в виду, что загрузка прошивки на роутер требует хороших технических знаний. Вполне вероятно, что вы лишитесь гарантии, и в случае ошибки устройство может выйти из строя. Учтите это, ведь вы же были предупреждены!

Как защититься

Проверьте, включена ли функция удаленного доступа в вашем роутере. Она часто есть в устройствах, которые дают провайдеры связи. Провайдерам удаленный доступ нужен для дела: так им проще помогать пользователям с настройкой сети. Тем не менее провайдеры могут оставить в веб-интерфейсе пароль по умолчанию, что делает вас легкой добычей хакерских программ.

Если вы можете зайти в веб-интерфейс со стандартными логином и паролем admin / admin, обязательно поменяйте пароль и запишите его. Когда провайдер будет настраивать ваш роутер удаленно, просто скажите, что поменяли пароль из соображений безопасности, и продиктуйте его оператору.

Инструкция по защите роутера

  1. Поставьте на вайфай надежный пароль.
  2. Смените стандартный пароль администратора.
  3. Если роутер не от провайдера, отключите удаленный доступ.
  4. Если не знаете, как это всё сделать, вызовите компьютерного мастера, которому вы доверяете.

Сейчас в большинстве квартир и домов больше одного устройства, которое подключено к Интернету. Это обусловило популярность роутеров и беспроводных точек доступа, которые практически полностью вытеснили подключение кабеля Интернет-провайдера непосредственно к единственному компьютеру. Теперь провод поставщика услуг Интернет-соединения включается в специальное устройство, которое позволяет использовать одно и то же соединение для сразу нескольких компьютеров, а также подключать мобильные устройства, ноутбуки и обычные компьютеры по Wi-Fi, объединяя их в локальную сеть.

Роутеры стоят у нас дома, в тепле и уюте и это порождает ложное ощущение, что роутеры находятся в безопасности. Это совсем не так, каждый роутер стоит на семи ветрах - в очень агрессивном окружении: любой (буквально ЛЮБОЙ) в пределах досягаемости беспроводного сигнала может взаимодействовать с вашим роутером, записывать передаваемый трафик; также нужно помнить, что роутеры имеют выход в Интернет, где многочисленные автоматизированные сканеры могут десятки раз за день сканировать порты, запущенные службы, перебирать пароли, выполнять эксплойты в отношении вашего роутера.

Ваш роутер нуждается в защите - без вашей помощи он может стать жертвой хакеров, в этой статье будет рассказано, как защитить и настроить Wi-Fi роутер, чтобы его было невозможно взломать .

Что хакеры могут получить, взломав Wi-Fi роутер?

Многие пользователи легкомысленно относятся к защите роутера, поскольку не понимают, какую опасность может повлечь взлом роутера. Любопытно, что большинство пользователей понимает опасность взлома их компьютера, поскольку атакующий может получить доступ к их личным данным, фотографиям, паролям. Очень важно уяснить, что взлом роутера является предшествующим шагом к взлому компьютера. Проникнув в роутер, хакер может:

  • выполнить атаку человек-посередине, которая направлена на перехват паролей и других данных, которые вы передаёте по сети;
  • выполнить атаку человек-посередине, направленную на заражение пользовательского компьютера бэкдором или трояном;
  • выполнять фишинговые атаки, направленные на получение логинов и паролей с сайтов, выманивание денег, заражение компьютера бэкдором или трояном;
  • следить за сетевой активностью пользователей;
  • блокировать Интернет-соединение полностью или на отдельные сайты;
  • использовать Интернет-соединение для преступной деятельности (правоохранительные органы будут видеть ваш IP в качестве адреса киберпреступника);
  • получать доступ к веб-камерам и другому периферийному оборудованию, подключённому к вашему роутеру
  • вносить изменения в прошивку роутера.

Взлом роутера - это серьёзная угроза, которая может повлечь серьёзные последствия для пользователя.

Как попасть в настройки роутера

Для управления роутерами в подавляющем большинстве случаев используется веб-интерфейс, т.е. все настройки вы можете выполнять прямо из браузера. Ваш компьютер и ваш роутер находятся в одной локальной сети (неважно, используете вы Wi-Fi или провод). Чтобы попасть «внутрь» вашего роутера, наберите в строке браузера

Если этот адрес не работает, то иногда он может быть

Вас встретит форма для ввода имени пользователя и пароля. Их можно посмотреть в паспорте устройства, на коробке, на корпусе. Или просто поищите дефолтные (заводские) учётные данные для вашего роутера в Интернете.

У каждой модели свои особенности оформления интерфейса и группировки настроек, но обычно всегда присутствуют пункты «Беспроводная сеть», «Локальная сеть» и «Интернет». Пункты меню и настроек могут называться чуть по-другому, но поняв смысл настройки вы без труда сможете найти её у себя.

Рекомендации для защиты роутера и Wi-Fi точки доступа от взлома

Используйте пароль для доступа к вашей сети

Не оставляйте вашу беспроводную сеть открытой («Open»), выберите шифрование (метод проверки подлинности) WPA или WPA2.

Откажитесь от использования алгоритма WEP

WEP это устаревший, практически не используемый алгоритм обеспечения безопасности Wi-Fi. Он может быть взломан за считанные минуты. Тем не менее, до сих пор попадаются точки доступа с WEP, поэтому проверьте свою и если в ней для шифрования используется WEP, то переключитесь на WPA или WPA2.

Отключите WPS

WPS (Wi-Fi Protected Setup) обеспечивает легкий, но не безопасный способ создания беспроводной сети. В зависимости от степени уязвимости, WPS, а затем и Wi-Fi пароль, могут быть взломаны за день или даже за считанные минуты.

Установите надёжный пароль

Поскольку по самой своей сути сеть Wi-Fi является доступной любому, кто находится в радиусе её действия, то любой может попытаться к ней подключиться, пробуя разные пароли (называется онлайн перебор). Также популярна другая техника, которая основывается не на попытках подключения, а на захвате определённых данных, которыми законный пользователь и точка доступа обмениваются в момент подключения и последующем их взломе (офлайн перебор). Применение последней позволяет делать перебор со скоростью десятки и сотни тысяч паролей в секунду. Вы сможете защититься от такой атаки только установив длинный и сложный пароль.

Следующие правила позволят вам практически гарантированно защититься от любых взломов методом перебора:

  • используйте длинный пароль. Wi-Fi пароль не может быть менее восьми символов. По возможности, старайтесь использовать пароли 10 и более символов;
  • пароль не должен представлять собой осмысленную фразу, состоять из нескольких объединённых осмысленных слов, поскольку такой вариант пароля может быть взломан с помощью словаря;
  • используйте в пароле четыре класса символов: цифры, большие и маленькие буквы, знаки препинания;
  • время от времени, например, раз в несколько месяцев, меняйте свой пароль на новый.

На скриншоте выше видно, что в роутерах часто используются сгенерированные пароли, состоящие из восьми символов и включающие в себя три класса символов (большие и маленькие буквы, цифры): L95atyz7, 6rQTeRBb, YssvPT4m, WJ5btEX3, dn8MVX7T. Для взлома таких паролей на типичном домашнем компьютере понадобиться 1-3 года непрерывного перебора. НО собрав компьютер на нескольких топовых видеокартах (сделав что-то вроде «фермы» для майнинга) полный перебор такого пароля можно сократить до одного-нескольких месяцев. На мой взгляд, такие пароли нельзя считать надёжными. Как уже было сказано, добавляйте четвёртый класс символов (знаки синтаксиса) и увеличивайте количество символов - это будет гарантировать вам, что ваша Wi-Fi сеть не будет взломана даже с применением очень мощного оборудования.

Проверьте настройки сети на 5 ГГц

Многие пользователи не знают, что их роутер работает в двух частотных диапазонах: 2,4 ГГц и 5 ГГц. Если вы обезопасили один диапазон, но забыли про другой, то нападающий может воспользоваться этим. Установите надёжный пароль для сети 5 ГГц, отключите для неё WPS. Если же вы не используете диапазон 5 ГГц, то можно просто отключить его.

Установите надёжный пароль для входа в админку роутера

Как уже было сказано, ваш роутер подключён к локальной и глобальным сетям, где любой может попытаться подключиться к нему. Чтобы не позволить злоумышленнику подобрать пароль, установите длинный пароль с использованием разных классов символов.

Поменяйте имя админа

Поменяйте имя пользователя с Admin/admin на другое, менее предсказуемое - это ещё больше усложнит задачу по подбору пароля.

Отключите доступ к панели управления роутером из Интернета

В подавляющем большинстве случаев вам достаточно доступа к панели администрирования роутера из локальной сети. Если вам не нужен доступ к настройкам роутера из внешней сети (из Интернета), то отключите его, это не даст возможность нападающем попытаться подобрать пароль входа. Эта настройка может называться «Включить веб-доступ из WAN».

Обновляйте прошивку вашего роутера

Даже при надёжном пароле, злоумышленник может получить доступ к роутеру или получить этот пароль в открытом виде если роутер содержит уязвимость. Новые прошивки от производителей должны устранять уязвимости и другие ошибки, улучшать стабильность работы и функциональность, поэтому регулярно (раз в несколько месяцев) проверяйте наличие новых прошивок и обновляйте их на вашем роутере.

Поиск уязвимостей в роутере

К сожалению, иногда уязвимости находят уже после прекращения поддержки роутера производителем. Это может привести к ситуации, когда хакерам известно об уязвимости в вашем роутере, но обновления прошивки отсутствуют.

Проверить свой роутер на уязвимости можно программой Router Scan by Stas’M . Это довольно простая в использовании программа с графическим интерфейсом.

Если вы знакомы с Linux, то вы можете использовать похожую программу RouterSploit , в ней могут быть эксплойты, которых нет в Router Scan. Инструкция по использованию:

Если ваш роутер окажется уязвимым без возможности обновления прошивки, то рекомендуется отказаться от его использования и заменить на новый.

Отключите неиспользуемые сетевые службы

Чем сложнее устройство, тем больше потенциальных точек для приложения усилий хакера. Многие из сетевых служб и дополнительных функций не используются большинством пользователей, а некоторые из них ещё и содержат известные уязвимости. Поэтому отключите SSH, FTP, Telnet, организацию общего доступа к файлам из сети Интернет (например, AiDisk), файл/медиа-сервер (например, UPnP), SMB (Samba), TFTP, IPv6 и другие, которые вам не нужны.

Включите HTTPS для административных соединений

На большинстве роутеров он по умолчанию отключён. Эта настройка позволит вам предотвратить перехват вашего пароля от админки роутера если вы подключаетесь к нему из сети Интернет, либо при атаках человек-посередине, если злоумышленник уже проник в вашу локальную сеть.

Выходите (разлогируйтесь), когда заканчиваете работу в роутере

Простое закрытие страницы может оставлять авторизационную сессию в роутере открытой.

Включите ведение журнала

Это хорошая привычка время от времени проверять логи на подозрительную активность. Правильно настройте часы и временную зону, чтобы логи были более точными.

Проверяйте логи, контролируйте подключённые устройства

Это уже относится к выявлению взлома роутера - данный вопрос более подробно будет рассмотрен ниже.

Настройте «Гостевую» сеть

Многие современные роутеры могут создавать отдельные гостевые сети.

Убедитесь, что она имеет доступ только в Интернет, а не в локальную сеть. Естественно, используйте WPA2 и, конечно же, пароль должен быть другим, не тот же самый, что от вашего основного Wi-Fi.

Дополнительные шаги по защите роутера

Если вам ещё мало предыдущего, то вот вам ещё несколько советов.

Измените диапазон IP адресов, установленных по умолчанию для вашей локальной сети

Все роутеры для пользователей, которые я видел, имеют один и тот же диапазон локальных адресов. Это 192.168.1.x или 192.168.0.x. Это облегчает автоматизированную атаку с использованием скрипта.

Доступные диапазоны:

  • Любые 10.x.x.x
  • Любые 192.168.x.x
  • 172.16.x.x до 172.31.x.x

Измените локальный адрес роутера, установленный по умолчанию

Если кто-то проникнет в вашу сеть, они точно знают, что адрес вашего роутера x.x.x.1 или x.x.x.254, затрудним им задачу.

Ограничьте административный доступ по беспроводной сети

Это подходит не всем. Например, может так быть, что абсолютно все компьютеры подключены только по беспроводной сети. Но если это можно сделать, то это здорово усложнит задачу нападающему.

Использование MAC фильтра

Мало эффективный способ защиты, поскольку нападающий может с лёгкостью узнать пропускаемые MAC адреса и подделать их. Не нужно полагаться на эту защиту.

Сокрытие сети

Неэффективный с точки зрения безопасности приём. Не ухудшает безопасность, но и не увеличивает её, поскольку нападающий может с лёгкостью узнать имя сети.

Признаки взлома Wi-Fi роутера

Изменение настроек роутера без вашего ведома

Если нелегитимными пользователями были изменены какие-либо настройки, а особенно изменён пароль для входа в панель администрирования, настройки DNS, VPN, то это признак того, что хакер получил доступ к вашему роутеру.

Контролируйте устройства, подключённые к вашей локальной сети

Для этого могут использоваться такие программы как NetworkConnectLog и Wireless Network Watcher ().

Несанкционированное подключение означает, что ваша сеть скомпрометирована.

Просматривайте журнал роутера

Если ваш роутер поддерживает ведение журнала, в котором фиксируется вход администратора устройства, то регулярно просматривайте его для выявления подозрительной активности.

Выявление атак человек-посередине и странные нарушения работы сети

Продвинутые пользователи кроме обнаружения новых устройств в сети, также могут предпринять действия для выявления начавшихся в отношении них атак «)».

Странные нарушения в работе сети также могут свидетельствовать о внесении изменений в настройки сетевого оборудования и перехвате/модификации трафика атакующим.