Максимальная защита Wi-Fi сети и роутера от других пользователей и взлома

Так сложилось, что многие несерьезно относятся к защите своей домашней Wi-Fi сети и самого маршрутизатора. В лучшем случае Wi-Fi сеть защищена каким-то паролем, а заводской пароль маршрутизатора изменен. Но и это бывает не всегда. Очень часто пользователи оставляют Wi-Fi сеть полностью открытой. По доброте душевной, или просто лень устанавливать, а потом еще и вводить этот пароль – я не знаю. Но это очень глупо.

Я думаю, что многие просто не понимают, чем может быть опасно подключение других пользователей, или что еще хуже – злоумышленников к их Wi-Fi сети. Вот представим, что у нас есть домашняя беспроводная сеть. Пускай она защищена паролем, или полностью открыта. Но путем взлома, или простого подключения (если сеть не защищена), к ней подключились другие пользователи. У этих пользователей скорее всего нет плохих намерений. Им не интересны наши личные файлы и у них нет цели нам как-то навредить.

Просто подключись к чужому Wi-Fi и пользуются интернетом.

Вроде ничего страшного, нам же не жалко. Но нужно понимать, что эти чужие устройства создают нагрузку на наш маршрутизатор. Он начинает медленно работать. Падает скорость соединения. А если они качают/раздают торренты? Или в онлайн игры играют? Это большая нагрузка на сеть и роутер. Он может вообще зависать, глючить и т. д. Но это еще пол беды. Если у нас настроена локальная сеть, открыт доступ к каким-то файлам на компьютере, то все кто подключен к вашему роутеру тоже могут получить доступ к вашим файлам. А это уже как минимум неприятно. А пароль администратора на маршрутизаторе вы сменили? Если нет, то у этих других пользователей есть доступ к настройкам роутера. И они вообще могут сменить/поставить пароль на Wi-Fi. На ваш Wi-Fi. И вам придется сбрасывать настройки роутера и все заново настраивать.

А ведь могут быть более серьезные проблемы. Особенно, когда из-за плохой защиты вашей беспроводной сети к ней получит доступ какой-то злоумышленник. Он, например, может совершать какие-то противоправные действия через ваше подключение. Например, размещать, или загружать какие-то запрещенные файлы. А отвечать за это скорее всего придется именно вам. Так же через маршрутизатор можно получить доступ к вашим устройствам и информации, которая на них храниться.

Разумеется, что любую Wi-Fi сеть можно взломать. И 100% защиты нет. Но вряд ли кто-то станет тратить время и силы на то, чтобы получить доступ к обычной домашней Wi-Fi сети. Если, конечно, вы не храните сверх секретную информацию и конкретно ваша беспроводная сеть не представляет особый интерес для злоумышленников. Поэтому, я всем рекомендую как минимум устанавливать хороший пароль на Wi-Fi и на сам маршрутизатор. Но кроме этого у меня есть еще несколько рекомендаций, которые позволят вам максимально защитить свою беспроводную сеть и маршрутизатор от других пользователей (в лице соседей, злоумышленников и т. д.) и взлома.

Для изменения настроек безопасности маршрутизатора необходимо зайти в его веб-интерфейс.

Этот процесс (как и процесс смены других параметров) отличается в зависимости от производителя, модели, или прошивки роутера. Поэтому даю ссылку на универсальную инструкцию: как зайти в настройки роутера. Там есть вся необходимая информация.

Установите надежный пароль Wi-Fi сети

Ваша Wi-Fi сеть должна быть защищена паролем. Хорошим паролем. Никаких «11111111», «12345678», «qwertyui» и т. д. Не поленитесь придумать надежный пароль, в котором будут заглавные буквы, цифры и специальные знаки (~ ! @ # $ %  & * ). Так же не поленитесь записать этот пароль, чтобы потом в комментариях не спрашивать: а как узнать пароль от своего Wi-Fi?

Да, такие пароли не совсем удобно вводить при подключении устройств. Но так ли часто вы подключаете новые устройства? Думаю, что нет.

Настройки безопасности беспроводной сети – это не только пароль. Нужно в настройках выбрать современный и надежный тип безопасности и шифрования беспроводной сети. Если у вас нет желания смотреть отдельную статью на эту тему, то скажу, что лучше ставить WPA2 — Personal с шифрованием AES.

Если вы не знаете как установить, или сменить пароль на Wi-Fi на своем маршрутизаторе, то смотрите статью как защитить сеть Wi-Fi паролем. Если в статье вы не найдете инструкций для своего маршрутизатора, то воспользуйтесь поиском по сайту. Если и там ничего не найдете, то оставьте свой вопрос в комментариях. Только напишите модель. Я постараюсь подсказать, как и где можно поменять пароль на вашем устройстве.

Сюда еще хочу добавить, что желательно менять имя беспроводной сети (SSID). Придумайте какое-то оригинальное имя. Так вы не потеряете свою сеть среди других соседних сетей.

Защитите настройки маршрутизатора паролем

Этот пароль никак не относится к Wi-Fi. Он используется исключительно для защиты настроек роутера. Чтобы никто кроме вас не смог зайти в веб-интерфейс роутера и сменить там какие-то настройки. Как правило, устанавливается логин и пароль (иногда только пароль). На некоторых роутерах он установлен по умолчанию. Обычно используется admin/admin.

Если по умолчанию пароль не установлен, то в процессе первой настройки роутер предлагает установить его. Но это в любой момент можно сделать в панели управления.

После установки/смены пароль, его нужно будет вводить каждый раз, когда вы будете заходить в веб-интерфейс.

На эту тему я уже подготовил отдельную статью: как на роутере поменять пароль с admin на другой. Там я показывал, как установить пароль на роутерах ASUS, D-Link, TP-Link, ZyXEL.

Отключите функцию WPS

С помощью WPS можно быстро и без ввода пароля подключать устройства к беспроводной сети. Но как показывает практика, WPS мало кто пользуется. Можно найти много материалов, где написано о разных проблемах с безопасностью функции WPS. Поэтому, для защиты роутера от взлома, эту функцию лучше отключить.

Кроме этого, я замечал, что из-за WPS очень часто не удается подключить некоторые устройства к Wi-Fi, или настроить маршрутизатор в режиме моста.

Как работает WPS и как отключить его, я писал здесь: https://help-wifi. com/sovety-po-nastrojke/chto-takoe-wps-na-wi-fi-routere-kak-polzovatsya-funkciej-wps/

Спрячьте Wi-Fi сеть от посторонних глаз

В настройках Wi-Fi сети на маршрутизаторе есть такая функция как «Скрыть SSID» (Hide SSID), или «Отключить широковещание SSID». После ее активации устройства перестанут видеть вашу Wi-Fi сеть. А чтобы к ней подключиться, нужно будет указать не только пароль, но и имя самой сети (SSID). А это дополнительная защита.

Эта настройка обычно находится в разделе с настройками беспроводной сети. Можете посмотреть, например, как сделать Wi-Fi сеть невидимой на роутерах TP-Link. После этого вам может пригодиться инструкция, в которой я показывал как подключиться к скрытой Wi-Fi сети.

Настройте фильтрацию по MAC-адресам

Не уверен, что эта функция есть в каждом маршрутизаторе, но думаю, что должна быть. MAC-адрес – уникальный адрес Wi-Fi адаптера (модуля). То есть, у каждого устройства он свой. В настройках роутера можно прописать MAC-адреса тех устройств, которые могут подключаться к вашей сети (создать белый список адресов).

Если MAC-адреса устройства в списке нет – оно к сети не подключиться.

Это наверное самая эффективная защита маршрутизатора. Неудобство лишь в том, что при подключении новых устройств придется заходить в настройки роутера и прописывать их MAC-адреса.

Немного об этих настройках я рассказывал в статье как заблокировать устройство (Wi-Fi-клиента) на роутере по MAC-адресу. Только там я создавал черный список устройств (которым запрещено подключаться), а в нашем случае нужно создавать белый список MAC-адресов устройств (которым разрешено подключаться).

Дополнительные рекомендации

Еще несколько советов, которые помогут сделать ваш роутер еще более защищенным.

• Обновляйте прошивку маршрутиазтора. В новых версиях программного обеспечения могут быть улучшены не только какие-то функции, или стабильность работы, но и безопасность.
• Брандмауэр, Антивирус, Межсетевой экран, Защита DoS – все, или некоторые подобные функции присутствуют в современных маршрутизатора. Обычно, они включены по умолчанию. Не отключайте их без необходимости и не меняйте настройки.
• Удаленный доступ к роутеру – это управление роутером через интернет. Если вы не используете эту функцию, то ее лучше отключить.
• Время от времени меняйте пароль Wi-Fi сети.
• Проверяйте, нет ли чужих устройств в списке подключенных клиентов на вашем роутере. Как посмотреть: кто подключен к роутеру ASUS, кто подключен к роутеру D-Link, кто подключен к роутеру TP-Link.

Все эти базовые настройки помогут вам залатать основные «дыры» в безопасности вашего роутера и Wi-Fi сети, которую он раздает. Думаю, что для домашних Wi-Fi сетей этих рекомендаций более чем достаточно.

Защита WIFI сети от злоумышленников.

Мы много писали на наших стараницах в взломе WIFI и различных методах атаки. Давайте сегодня остановимся на немного другой теме и поговорим о обратной стороне. В данном материале вы узнаете что такое защита WIFI сети от злоумышленников и как активно противостоять хакерам которые пытаются взломать ваш роутер.

Основы защиты беспроводных сетей

Безопасность беспроводной сети специально создана для того, чтобы неавторизованные пользователи не могли получить доступ к вашей беспроводной сети и украсть конфиденциальную информацию. Тип беспроводной безопасности, которую использует отдельный пользователь, определяется его беспроводным протоколом.

Сегодня многие дома и компании работают и полагаются на беспроводные сети. Wi-Fi невероятно эффективен для поддержания пользователей подключенными к интернету 24 часа в сутки каждый день недели. Вышеупомянутое преимущество в сочетании с тем, что он поставляется без помех, делает беспроводную сеть еще более привлекательной.

Однако есть и другая сторона, поскольку сигналы Wi-Fi могут транслироваться за пределами дома или компании. Это означает, что Wi-Fi уязвим для хакеров; увеличивая легкий доступ людей в соседних домах или даже людей на соседней парковке. Вот тут-то и возникает важность обеспечения надежной беспроводной безопасности.

Вы можете задаться вопросом, что представляет собой опасность, если она вообще существует, для других людей, имеющих доступ к вашему Wi-Fi. Ну, есть ряд опасностей для уязвимой беспроводной сети. Например, хакеры смогут получить доступ к личной информации, украсть вашу личность и использовать ее против вас. Были случаи, когда люди попадали в тюрьму за преступление, которое они не совершали через интернет.

Когда другие люди смогут получить доступ к вашему Wi-Fi, скорее всего, ваш ежемесячный счет резко возрастет. Кроме того, другие люди, использующие ваше Wi-Fi соединение без вашего разрешения, значительно снизят скорость доступа в Интернет. В современную цифровую эпоху, когда Интернет является местом, где живут недобросовестные люди, безопасность Wi-Fi не может быть занижена.

Нетрудно защитить ваш Wi-Fi. В этой статье мы расскажем вам, как эффективно защитить сеть Wi-Fi и защитить себя и всех остальных пользователей в вашем доме или офисе от взлома. Первый шаг — рассмотреть тип безопасности вашего Wi-Fi.

Какого типа безопасности имеет ваш WiFi?

Первый шаг к тому, как обезопасить сети Wi-Fi от неавторизованных пользователей, — проверить тип безопасности, используемый вашей Wi-Fi.

Примечательно, что существует как минимум четыре беспроводных протокола, которые включают в себя:

• Wired Equivalent Privacy (WEP)
• Защищенный доступ Wi-Fi (WPA)
• Защищенный доступ Wi-Fi 2 (WPA 2)
• Защищенный доступ Wi-Fi 3 (WPA 3)

Прежде чем мы сможем подробно изучить упомянутые выше беспроводные протоколы, важно научиться определять тип используемой беспроводной безопасности. Помните, что тип вашей беспроводной сети будет WEP, WPA, WPA2 или WPA3. Ниже приведены инструкции по проверке типа используемой беспроводной безопасности:

• Зайдите в настройки подключения Wi-Fi на вашем телефоне
• В списке доступных сетей найдите свою конкретную беспроводную сеть.
• Нажмите на нее, чтобы получить доступ к конфигурации сети
• Конфигурация сети должна указывать тип используемой вами беспроводной защиты.
• Если вы не можете выполнить вышеупомянутые действия на своем телефоне, попробуйте получить доступ к настройкам Wi-Fi на беспроводном маршрутизаторе.
• Если у вас возникли проблемы, обратитесь за помощью к вашему интернет-провайдеру.

Однако более простой способ проверки на шифрование — использование приложения, известного как NetSpot, которое считается лучшим в отрасли. После того, как вы определили тип безопасности вашего Wi-Fi, вы должны убедиться, что он использует эффективный беспроводной протокол.

Что такое беспроводные протоколы безопасности?

Беспроводные протоколы предназначены для защиты беспроводных сетей, используемых в домах и зданиях других типов, от хакеров и неавторизованных пользователей. Как упоминалось ранее, существует четыре протокола безопасности беспроводной сети, каждый из которых отличается по силе и возможностям. Беспроводные протоколы также шифруют личные данные, передаваемые по радиоволнам. Это, в свою очередь, защищает ваши личные данные от хакеров и непреднамеренно защищает вас.

Ниже подробно рассматривается тип беспроводных протоколов, о которых должен знать каждый:

• Wired Equivalent Privacy (WEP): это первый протокол безопасности беспроводной связи, когда-либо разработанный. Несмотря на то, что он был разработан в 1997 году, он все еще используется сегодня. Несмотря на это, он считается наиболее уязвимым и наименее безопасным протоколом безопасности беспроводной сети.

• Защищенный доступ Wi-Fi (WPA): этот беспроводной протокол безопасности предшествует WEP. Следовательно, он предназначен для устранения недостатков, обнаруженных в протоколе WEP. В частности, для шифрования используется протокол целостности временного ключа (TKIP) и предварительный ключ (PSK).

• Защищенный доступ Wi-Fi 2 (WPA 2): WPA 2, преемник WPA, обладает расширенными функциями и возможностями шифрования. Например, WPA 2 использует протокол кода аутентификации цепочки сообщений (CCMP) шифровального режима счетчика вместо (TKIP). Известно, что эта функция замены эффективна при шифровании данных. Следовательно, WPA 2 считается лучшим протоколом безопасности беспроводной сети.

• Защищенный доступ Wi-Fi 3 (WPA 3): это недавний беспроводной протокол. Он улучшен с точки зрения возможностей шифрования и защиты хакеров от частных и общедоступных сетей.

Учитывая вышеприведенную информацию, было бы лучше убедиться, что ваш беспроводной протокол является WPA 2 или WPA 3. Если это не так, вы можете легко изменить свой протокол Wi-Fi на WPA 2. Никогда не используйте WEP для шифрования вашего беспроводная сеть, так как она очень слабая и неэффективная в лучшем случае.

Теперь, учитывая все вышесказанное, ниже приведены лучшие советы по безопасности WiFi.

• Проверка мошеннических точек доступа Wi-Fi. Мошеннические точки доступа представляют серьезную угрозу безопасности, поскольку они обеспечивают доступ для хакеров. Лучший способ — провести опрос сайтов Wi-Fi в вашем доме или в здании компании. Лучшее приложение для этого — приложение NetSpot. Это приложение не только обнаруживает мошеннические точки доступа, но и эффективно избавляется от них.

• Усиление шифрования Wi-Fi: чтобы усилить шифрование Wi-Fi, вам необходимо идентифицировать беспроводной протокол, как мы видели выше. Использование NetSpot поможет определить ваш тип шифрования.

• Безопасный пароль WPA 2: Измените пароль WPA 2 на что-то незаметное. Чтобы убедиться, что ваш пароль надежный, используйте разные символы и цифры.

• Скрыть имя сети. Идентификатор вашего набора служб или SSID часто настроен на передачу имени вашей беспроводной сети. Это увеличивает вашу уязвимость. Вы можете легко переключиться на «скрытый», что затруднит для кого-либо подключение к нему, если они не знают тогда название вашей беспроводной сети.

проникновение и защита. 1) Матчасть / Хабр

Синоптики предсказывают, что к 2016 году наступит второй ледниковый период трафик в беспроводных сетях на 10% превзойдёт трафик в проводном Ethernet. При этом от года в год частных точек доступа становится примерно на 20% больше.

При таком тренде не может не радовать то, что 80% владельцев сетей не меняют пароли доступа по умолчанию. В их число входят и сети компаний.

Этим циклом статей я хочу собрать воедино описания существующих технологии защит, их проблемы и способы обхода, таким образом, что в конце читатель сам сможет сказать, как сделать свою сеть непробиваемой, и даже наглядно продемонстрировать проблемы на примере незадачливого соседа (do not try this at home, kids). Практическая сторона взлома будет освещена с помощью Kali Linux (бывший Backtrack 5) в следующих частях.

Статья по мере написания выросла с 5 страниц до 40, поэтому я решил разбить её на части. Этот цикл — не просто инструкция, как нужно и не нужно делать, а подробное объяснение причин для этого. Ну, а кто хочет инструкций — они такие:

Используйте WPA2-PSK-CCMP с паролем от 12 символов a-z (2000+ лет перебора на ATI-кластере). Измените имя сети по умолчанию на нечто уникальное (защита от rainbow-таблиц). Отключите WPS (достаточно перебрать 10000 комбинаций PIN). Не полагайтесь на MAC-фильтрацию и скрытие SSID.

Оглавление:
1)

Матчасть

2)Kali. Скрытие SSID. MAC-фильтрация. WPS
3)WPA. OpenCL/CUDA. Статистика подбора

Но сначала — матчасть.

Передайте мне сахар

Представьте, что вы — устройство, которое принимает инструкции. К вам может подключиться каждый желающий и отдать любую команду. Всё хорошо, но на каком-то этапе потребовалось фильтровать личностей, которые могут вами управлять. Вот здесь и начинается самое интересное.

Как понять, кто может отдать команду, а кто нет? Первое, что приходит в голову — по паролю. Пусть каждый клиент перед тем, как передать новую команду, передаст некий пароль. Таким образом, вы будете выполнять только команды, которые сопровождались корректным паролем. Остальные — фтопку.

Именно так работает базовая авторизация HTTP (Auth Basic):

AuthType Basic
AuthName "My super secret zone!"
AuthUserFile /home/. htpasswd
Require valid-user 

После успешной авторизации браузер просто-напросто будет передавать определённый заголовок при каждом запросе в закрытую зону:

Authorization: Basic YWRtaW46cGFzcw==

То есть исходное:

echo -n 'admin:pass' | base64
# YWRtaW46cGFzcw==

У данного подхода есть один большой недостаток — так как пароль (или логин-пароль, что по сути просто две части того же пароля) передаётся по каналу «как есть» — кто угодно может встрять между вами и клиентом и получить ваш пароль на блюдечке. А затем использовать его и распоряжаться вами, как угодно!

Для предотвращения подобного безобразия можно прибегнуть к хитрости: использовать какой-либо двухсторонний алгоритм шифрования, где закрытым ключом будет как раз наш пароль, и явно его никогда не передавать. Однако проблемы это не решит — достаточно один раз узнать пароль и можно будет расшифровать любые данные, переданные в прошлом и будущем, плюс шифровать собственные и успешно маскироваться под клиента. А учитывая то, что пароль предназначен для человека, а люди склонны использовать далеко не весь набор из 256 байт в каждом символе, да и символов этих обычно около 6-8… в общем, комсомол не одобрит.

Что делать? А поступим так, как поступают настоящие конспираторы: при первом контакте придумаем длинную случайную строку (достаточно длинную, чтобы её нельзя было подобрать, пока светит это солнце), запомним её и все дальнейшие передаваемые данные будем шифровать с использованием этого «псевдонима» для настоящего пароля. А ещё периодически менять эту строку — тогда джедаи вообще не пройдут.

Первые две передачи (зелёные иконки на рисунке выше) — это фаза с «пожатием рук» (handshake), когда сначала мы говорим серверу о нашей легитимности, показывая правильный пароль, на что сервер нам отвечает случайной строкой, которую мы затем используем для шифрования и передачи любых данных.

Итак, для подбора ключа хакеру нужно будет либо найти уязвимость в алгоритме его генерации (как в случае с Dual_EC_DRBG), либо арендовать сотню-другую параллельных вселенных и несколько тысяч ATI-ферм для решения этой задачи при своей жизни. Всё это благодаря тому, что случайный ключ может быть любой длины и содержать любые коды из доступных 256, потому что пользователю-человеку никогда не придётся с ним работать.

Именно такая схема с временным ключом (сеансовый ключ, session key или ticket) в разных вариациях и используется сегодня во многих системах — в том числе SSL/TLS и стандартах защиты беспроводных сетей, о которых будет идти речь.

План атаки

Внимательные читатели, конечно, заметили, что как бы мы не хитрили — от передачи пароля и временного ключа в открытой или хэшированной форме нам никуда не деться. Как результат — достаточно хакеру перехватить передачу на этой фазе, и он сможет читать все последующие данные, а также участвовать в процессе, вставляя свои пять копеек. И отличить его невозможно, так как вся информация, которой бы мог руководствоваться сервер для выдачи временного ключа или проверки доступа базируется именно на том, что было в начале передачи — handshake. Поэтому хакер знает всё то же, что и сервер, и клиент, и может водить обоих за нос, пока не истечёт срок действия временного ключа.

Наша задача при взломе любой передачи так или иначе сводится к перехвату рукопожатия, из которого можно будет либо вытащить временный ключ, либо исходный пароль, либо и то, и другое. В целом, это довольно долгое занятие и требует определённой удачи.

Но это в идеальном мире…

Механизмы защиты Wi-Fi

Технологии создаются людьми и почти во всех из них есть ошибки, иногда достаточно критические, чтобы обойти любую самую хорошую в теории защиту. Ниже мы пробежимся по списку существующих механизмов защиты передачи данных по радиоканалу (то есть не затрагивая SSL, VPN и другие более высокоуровневые способы).

OPEN

OPEN — это отсутствие всякой защиты. Точка доступа и клиент никак не маскируют передачу данных. Почти любой беспроводной адаптер в любом ноутбуке с Linux может быть установлен в режим прослушки, когда вместо отбрасывания пакетов, предназначенных не ему, он будет их фиксировать и передавать в ОС, где их можно спокойно просматривать. Кто у нас там полез в Твиттер?

Именно по такому принципу работают проводные сети — в них нет встроенной защиты и «врезавшись» в неё или просто подключившись к хабу/свичу сетевой адаптер будет получать пакеты всех находящихся в этом сегменте сети устройств в открытом виде. Однако с беспроводной сетью «врезаться» можно из любого места — 10-20-50 метров и больше, причём расстояние зависит не только от мощности вашего передатчика, но и от длины антенны хакера. Поэтому открытая передача данных по беспроводной сети гораздо более опасна.

В этом цикле статей такой тип сети не рассматривается, так как взламывать тут нечего. Если вам нужно пользоваться открытой сетью в кафе или аэропорту — используйте VPN (избегая PPTP) и SSL (https://, но при этом поставьте HTTPS Everywhere, или параноидально следите, чтобы из адресной строки «внезапно» не исчез замок, если кто включит sslstrip — что, впрочем, переданных паролей уже не спасёт), и даже всё вместе. Тогда ваших котиков никто не увидит.

WEP

WEP — первый стандарт защиты Wi-Fi. Расшифровывается как Wired Equivalent Privacy («эквивалент защиты проводных сетей»), но на деле он даёт намного меньше защиты, чем эти самые проводные сети, так как имеет множество огрехов и взламывается множеством разных способов, что из-за расстояния, покрываемого передатчиком, делает данные более уязвимыми. Его нужно избегать почти так же, как и открытых сетей — безопасность он обеспечивает только на короткое время, спустя которое любую передачу можно полностью раскрыть вне зависимости от сложности пароля. Ситуация усугубляется тем, что пароли в WEP — это либо 40, либо 104 бита, что есть крайне короткая комбинация и подобрать её можно за секунды (это без учёта ошибок в самом шифровании).

WEP был придуман в конце 90-х, что его оправдывает, а вот тех, кто им до сих пор пользуется — нет. Я до сих пор на 10-20 WPA-сетей стабильно нахожу хотя бы одну WEP-сеть.

На практике существовало несколько алгоритмов шифровки передаваемых данных — Neesus, MD5, Apple — но все они так или иначе небезопасны. Особенно примечателен первый, эффективная длина которого — 21 бит (~5 символов).

Основная проблема WEP — в фундаментальной ошибке проектирования. Как было проиллюстрировано в начале — шифрование потока делается с помощью временного ключа. WEP фактически передаёт несколько байт этого самого ключа вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности ключа раскрыть любую передачу можно просто имея достаточное число перехваченных пакетов (несколько десятков тысяч, что довольно мало для активно использующейся сети).

К слову, в 2004 IEEE объявили WEP устаревшим из-за того, что стандарт «не выполнил поставленные перед собой цели [обеспечения безопасности беспроводных сетей]».

Про атаки на WEP будет сказано в третьей части. Скорее всего в этом цикле про WEP не будет, так как статьи и так получились очень большие, а распространённость WEP стабильно снижается. Кому надо — легко может найти руководства на других ресурсах.

WPA и WPA2

WPA — второе поколение, пришедшее на смену WEP. Расшифровывается как Wi-Fi Protected Access. Качественно иной уровень защиты благодаря принятию во внимание ошибок WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP).

Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP. Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP. TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не безопасен. Сейчас используется редко (хотя почему вообще ещё применяется — мне не понятно) и в целом использование WPA с TKIP почти то же, что и использование простого WEP.

Одна из занятных особенностей TKIP — в возможности так называемой Michael-атаки. Для быстрого залатывания некоторых особо критичных дыр в WEP в TKIP было введено правило, что точка доступа обязана блокировать все коммуникации через себя (то есть «засыпать») на 60 секунд, если обнаруживается атака на подбор ключа (описана во второй части). Michael-атака — простая передача «испорченных» пакетов для полного отключения всей сети. Причём в отличии от обычного DDoS тут достаточно всего двух (двух) пакетов для гарантированного выведения сети из строя на одну минуту.

WPA отличается от WEP и тем, что шифрует данные каждого клиента по отдельности. После рукопожатия генерируется временный ключ — PTK — который используется для кодирования передачи этого клиента, но никакого другого. Поэтому даже если вы проникли в сеть, то прочитать пакеты других клиентов вы сможете только, когда перехватите их рукопожатия — каждого по отдельности. Демонстрация этого с помощью Wireshark будет в третьей части.

Кроме разных алгоритмов шифрования, WPA(2) поддерживают два разных режима начальной аутентификации (проверки пароля для доступа клиента к сети) — PSK и Enterprise. PSK (иногда его называют WPA Personal) — вход по единому паролю, который вводит клиент при подключении. Это просто и удобно, но в случае больших компаний может быть проблемой — допустим, у вас ушёл сотрудник и чтобы он не мог больше получить доступ к сети приходится применять способ из «Людей в чёрном» менять пароль для всей сети и уведомлять об этом других сотрудников. Enterprise снимает эту проблему благодаря наличию множества ключей, хранящихся на отдельном сервере — RADIUS. Кроме того, Enterprise стандартизирует сам процесс аутентификации в протоколе EAP (Extensible Authentication Protocol), что позволяет написать собственный велосипед алгоритм. Короче, одни плюшки для больших дядей.

В этом цикле будет подробно разобрана атака на WPA(2)-PSK, так как Enterprise — это совсем другая история, так как используется только в больших компаниях.

WPS/QSS

WPS, он же Qikk aSS QSS — интересная технология, которая позволяет нам вообще не думать о пароле, а просто добавить воды нажать на кнопку и тут же подключиться к сети. По сути это «легальный» метод обхода защиты по паролю вообще, но удивительно то, что он получил широкое распространение при очень серьёзном просчёте в самой системе допуска — это спустя годы после печального опыта с WEP.

WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.

Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая.

Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты. Даже больше — временное отключение кардинально ничего не меняет, так как при одной попытке входа в минуту нам понадобится всего 10000/60/24 = 6,94 дней. А PIN обычно отыскивается раньше, чем проходится весь цикл.

Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите этот бекдор выключенным.

Атака на WPS будет рассмотрена во второй части.

p.s: так как тема очень обширная, в материал могли закрасться ошибки и неточности. Вместо криков «автор ничего не понимает» лучше использовать комментарии и ЛС. Это будет только приветствоваться.

Оглавление:
1) Матчасть
2) Kali. Скрытие SSID. MAC-фильтрация. WPS
3) WPA. OpenCL/CUDA. Статистика подбора

10 советов для безопасности беспроводной сети

Предлагаем вашему вниманию список из 10 рекомендаций для малого и среднего бизнеса, разработанных специалистами научно-исследовательского центра Института программной инженерии Карнеги-Меллон (Software Engineering Institute, SEI), которые помогут вам на базовом уровне усилить защиту своей сети WiFi, заставив хакеров ретироваться и искать в другом месте более удобные цели для своих атак.

Совет № 1. Используйте безопасные WiFi-маршрутизаторы бизнес-класса

 

Безопасность беспроводной сети начинается с выбора беспроводного маршрутизатора, который способен обеспечить строгое следование всем требованиям по безопасности и необходимой вам функциональности. Роутеры для дома и бизнеса отличаются, поэтому убедитесь, что выбранная модель полностью отвечает всем вашим конкретным бизнес-требованиям. WiFi-маршрутизатор бизнес-класса предоставляет расширенные возможности конфигурации и пропускной способности, а также обеспечивает поддержку VLAN (Virtual Local Area Network, логическая локальная компьютерная сеть), нескольких SSID (Service Set Identifier, уникальное наименование беспроводной сети), встроенного VPN и многое другое.

Совет № 2. Ограничьте доступ к маршрутизаторам

Это кажется очевидным, но у многих компаний их WiFi-роутеры установлены там, где физический доступ к ним имеют все сотрудники компании, а в ряде случаев — и гости. Опасность подобных ошибок проектной команды заключается в том, что простое нажатие кнопки сброса настроек (RESET) вернет маршрутизатор к заводским настройкам и, тем самым, позволит обойти любые меры безопасности, которые вы ранее на нем установили. Поэтому для безопасности беспроводных сетей позаботьтесь о том, чтобы физический доступ к маршрутизатору имел только персонал, уполномоченный для работы с ним.

Совет № 3. Следите за своевременными обновлениями прошивок и программного обеспечения

 

Убедитесь, что у вас всегда установлено самое последнее обновление прошивки ваших беспроводных маршрутизаторов. Также вам необходимо проконтролировать обновление программного обеспечения безопасности любого из устройств, имеющих доступ к вашей корпоративной сети WiFi. В зависимости от систем, которые у вас развернуты, вы можете автоматизировать этот очень важный для безопасности беспроводной сети процесс. Автоматизация обновлений — это, как правило, лучший вариант для такого рода задач, так как ваша защита перестанет зависеть от человеческого фактора. Таким образом, вы своевременно обеспечите защиту WiFi сети от любых новых уязвимостей, которые уже обнаружены или могут появиться в используемых вами аппаратных или программных решениях.

Совет № 4. Используйте WPA2 или WPA2 enterprise

Корпоративная версия WPA2 предоставит вам больше контроля, так как вы можете задавать индивидуальные имена пользователей и пароли для всех ваших сотрудников, использующих ваш WiFi. Это потребует от вас настройку вашего собственного сервера. Но даже если у вас не хватает опыта или ресурсов для этого, подобные услуги могут быть отданы на аутсорсинг. Таким образом, ваша беспроводная сеть WiFi будет защищена с помощью WPA2 enterprise, а всеми техническими аспектами займется аутсорсинг-провайдер.

Смотрите по теме: WPA2-Enterprise. Как создать безопасную Wi-Fi-сеть

Совет №5. Отключите возможность администрирования через беспроводное соединение на ваших маршрутизаторах

Конечно, осуществлять беспроводное администрирование маршрутизатора гораздо удобней, но, оставляя включенной опцию «Admin Via Wireless», вы тем самым обеспечиваете злоумышленникам более доступный им физически и потенциально опасный путь к вашей сетевой инфраструктуре. Когда эта функция отключена, только пользователи, напрямую подключенные к вашему маршрутизатору через кабель Ethernet, смогут получить доступ к функциям администратора.

Совет № 6. Настройте private доступ для сотрудников и public доступ для гостей

Таким образом вы разделите вашу сеть на две отдельные точки доступа. Хорошо защищенная и настроенная корпоративная точка доступа будет доступна только вашим сотрудникам для выполнения их рабочих задач, в то время как ваши клиенты и гости для получения беспроводного доступа в Интернет смогут воспользоваться публичной точкой доступа. Это устранит возможность случайного или намеренного доступа гостей к вашей системе, в том числе и к конфиденциальной информации, а также обезопасит ваш корпоративный трафик от прослушивания.

Совет № 7. Регулярно осуществляйте мониторинг всех точек доступа WiFi в зоне действия вашей беспроводной сети

Чтобы защитить беспроводную сеть wi-fi очень важно вовремя выявлять и пресекать все попытки осуществить несанкционированные беспроводные соединения. Регулярный мониторинг вашей беспроводной сети позволит вам своевременно выявлять мошеннические точки доступа, расположившиеся на вашей территории или в непосредственной близости от нее. Выполнение этих проверок также позволит вам узнать, не пытается ли кто-либо их ваших сотрудников осуществить подключение несанкционированной точки доступа в вашей контролируемой зоне. С задачами осуществления такого контроля за вашей беспроводной сетью, в том числе почти мгновенного обнаружения поддельных точек доступа или несанкционированных точек доступа с высокой точностью определения их физического местоположения отлично справится специализированное ПО и оборудование.

Совет № 8. Используйте подключение по VPN (Virtual Private Network, виртуальная частная сеть)

Наличие VPN-подключения даст вам несколько дополнительных функций безопасности беспроводной сети. Одной из наиболее важных является возможность защитить WiFi сеть за пределами контролируемой зоны вашего бизнеса. Будь то попытка доступа к вашей сети WiFi из зоны, физически находящейся за пределами контролируемой территории, либо осуществление любого другого соединения, которому вы не можете полностью доверять, — используйте VPN для маскирования своего реального интернет-трафика, чтобы он не мог быть обнаружен и перехвачен хакерами, когда вы или ваши сотрудники находитесь вне зоны вашего офиса.

Совет № 9. Используйте оригинальное имя сети и сложный пароль

Используя часто встречаемый или созвучный SSID вы упрощаете хакерам задачу взлома вашей сети. Сделаете его необычным. Кроме того, при выборе пароля для беспроводной сети многие компании поступают крайне опрометчиво. Так, согласно опросу, проведенному компанией Preempt Security, специализирующейся на информационной безопасности, более 35% компаний сегмента малого бизнеса имеют слабые, легко взламываемые пароли по сравнению с менее чем пятью процентами для более крупных предприятий. Таким образом, чтобы защитить вашу корпоративную сеть WiFi от взлома, обязательно выберите надежный сетевой пароль и регулярно меняйте его.

Совет № 10. Используйте политику безопасности, которая действенно работает

Реализация всех вышеприведенных рекомендаций, безусловно, увеличит безопасность вашей беспроводной сети, но без строгой и действенной политики безопасности все ваши усилия по защите сети WiFi окажутся бесполезными. Каждый ваш сотрудник должен четко понимать и нести ответственность за то, как он распоряжается корпоративной сети WiFi, а также использует системные ресурсы и чувствительные для бизнеса компании данные вне офиса. Разглашение информации о пароле доступа, добавление несанкционированных устройств, посещение сомнительных сайтов, открытие электронных писем от неизвестных источников и другие рискованные действия любого из ваших сотрудников могут полностью нивелировать все ваши усилия по обеспечению информационной безопасности. Периодически (хотя бы один раз в квартал) напоминайте вашей рабочей команде о корпоративной политике безопасности, объясняйте им последствия ее нарушения, а также постоянно прикладывайте усилия к приобщению всех сотрудников компании к сотрудничеству в этом вопросе.

 

Мне нужна консультация. Свяжитесь со мной.

Смотрите также:

Как защитить от взлома корпоративные сети Wi-Fi

Сети стандарта 802.11 широко используются как дома, так и в корпоративных сетях за счет своего удобства. Однако они являются уязвимыми к взлому, поэтому необходимо понимать, каких настроек безопасности хватит для домашнего использования и как защищаться в корпоративной среде.

 

 

 

 

 

1. Введение
2. О дефолтной защите Wi-Fi
3. Атаки на Wi-Fi глазами вардрайвера
4. Атака на WPS
5. Перехват headshake
6. Evil Twin
7. Итог взлома
8. Взлом дополнительной защиты
9. Безопасности WI-FI в корпоративной среде
10. Выводы

 

Введение

Считается, что безопасность и удобство лежат на разных чашах одних весов. То же самое и относится к сети Wi-Fi: удобно, но не очень безопасно. Уповая на ограниченный радиус действия этой технологии или от недостатка знаний часто специалисты информационной безопасности или системные администраторы не проявляют должной осмотрительности в этом направлении. А ведь такая точка доступа — это дверь в корпоративную сеть и лакомый кусочек для хакеров.

Хакеров, которые профессионально занимаются взломом сетей Wi-Fi, называют вардрайверы. Это целая субкультура, у которой есть свои форумы в подпольных уголках интернета и хорошие знания данной технологии. А потому необходимо знать, как происходит взлом сети, и постараться защитить свою беспроводную сеть так, чтобы ее взлом становился нецелесообразным по времени и трудозатратам.

 

О дефолтной защите Wi-Fi

На данный момент самым популярным методом защиты и шифрования трафика Wi-Fi является WPA2 (Wi-Fi Protected Access v.2).

WPA3 уже появилась, но еще толком не введена в эксплуатацию, хотя уже и была взломана хакерами атакой DragonBlood. Эта атака не очень сложная в воспроизведении, и за счет манипуляций с таймингами и побочным кешем позволяет узнать пароль от Wi-Fi. Поэтому самой безопасной все же остается WPA2, которой и рекомендуется пользоваться на сегодняшний день.

Сама же WPA2 бывает двух видов: PSK (Pre-Shared Key) и Enterprise. PSK использует для авторизации пароль (минимум 8 знаков) и применяется в основном в домашних условиях или небольших офисах. Enterprise же в свою очередь использует авторизацию с дополнительным сервером (как правило, RADIUS).

Также стоит упомянуть технологию WPS (Wi-Fi Protected Setup). Это упрощенный метод авторизации устройств с точкой доступа Wi-Fi, основанный на PIN-коде. Но, как уже было сказано — чем удобнее, тем менее безопасно, поэтому эту функцию рекомендуется отключать, если в ней нет крайней необходимости.

 

Атаки на Wi-Fi глазами вардрайвера

Для взлома сети Wi-Fi из софта можно использовать практически любой дистрибутив Linux, собранный для тестирования на проникновение. Это может быть всем известные Kali Linux, Black Arch или Parrot. Также есть специально собранный под это дистрибутив WifiSlax. С точки зрения атаки на беспроводные сети эти дистрибутивы объединяет пропатченное ядро для корректной работы программы aircrack-ng.

Из железа необходимо иметь лишь Wi-Fi-карту, которая поддерживает режим мониторинга. Они обычно сделаны на базе чипа Atheros, моделей ar*.

 

Атака на WPS

Самый первый шаг взлома сети Wi-Fi — это сканирование на наличие включенной функции WPS. Это можно сделать с телефона на операционной системе Android. Программа WPSApp не только «видит» активный WPS. На борту есть небольшая база дефолтных pin-кодов нескольких производителей (его можно узнать по MAC-адресу), которые можно попробовать автоматически подобрать. И если хакер оказывается в уверенном приеме 2-3 точек доступа с включенным WPS, то через 10-20 минут при определенной доле везения он получит доступ к одной из них, не прибегая к помощи компьютера.

 

Рисунок 1. Интерфейс программы WPSApp

 

Если такой способ не увенчался успехом, все же придется воспользоваться ноутбуком.

Чтобы просканировать доступные точки доступа, необходимо перевести сетевую карту в режим мониторинга, для чего и нужен aircrack-ng.

airmon-ng start wlan0

После этого появится новый беспроводной интерфейс (как правило, wlan0mon). После этого можно узнать, на каких роутерах включен WPS:

wash –i wlan0mon

 

Рисунок 2. Результат программы wash

 

 

После этого хакер начинает атаковать цель. Атаки на WPS нацелены на получение PIN-кода для авторизации. Многие роутеры до сих пор подвержены атаке Pixie-Dust, которая в случае успеха выдает PIN-код и пароль за 5-15 секунд. Осуществляется такая атака программой reaver:

reaver -i wlan0mon -b 7C:8B:CA:4B:DF:CE -K

Если Pixie-Dust не смог взломать WPS, то можно его попробовать подобрать брутфорсом. Это осуществляется той же самой программой:

reaver -i wlan0mon -b 7C:8B:CA:4B:DF:CE -c 5 –v

 

Рисунок 3. Работа программы reaver

 

 

Такая атака занимает до 30 часов, если точка доступа не заблокирует запросы по таймауту. Защиту от таких атак пользователь настроить не может, она заложена в прошивке роутера. Поэтому необходимо обновлять программное обеспечение до новых версий.

 

Перехват headshake

Зачастую функция WPS на роутере все же выключена, поэтому взлом немного усложняется. Теоретически атака проходит так: при повторном подключении к точке доступа клиент передает так называемый headshake, в котором содержится хеш пароля. Хакеру необходимо прослушивать трафик этой сети и разорвать авторизованную сессию между клиентом и точкой доступа, тем самым заставить передать headshake. В момент передачи он перехватывается, и расшифровывается пароль методом атаки по словарю, или брутфорсом.

Практически это делается следующими командами:

airmon-ng start wlan0

airodump-ng wlan0mon

 

Рисунок 4. Мониторинг эфира Wi—Fi

 

 

Появятся все доступные точки доступа с уровнем сигнала, номером канала и другой полезной информацией. Далее выбираем точку доступа и запускаем мониторинг эфира:

airodump-ng -c 1 --bssid E8:94:F6:8A:5C:FA -w /root/wifi wlan0mon

Следующим шагом необходимо «отсоединить» клиентов от сканируемой точки доступа. Для этого, не прекращая сканирования, в новом терминале вводим команду:

aireplay-ng --deauth 1000 -a E8:94:F6:8A:5C:FA   wlan0mon

После этого остается ждать, когда клиенты начнут заново пытаться авторизоваться, и в терминале сканирования появится надпись, символизирующая успешный перехват «рукопожатия».

 

Рисунок 5. Перехват «рукопожатия»

 

Осталось взломать хеш пароля. Для этого есть много онлайн-сервисов в глобальной сети, либо, если позволяют вычислительные ресурсы, можно попробовать сделать это на локальном компьютере.  

hashcat -m 2500 /root/hs/out.hccap /root/rockyou.txt

Если все грамотно настроено, то перебор может достигать до 1 миллиона комбинаций в секунду.

 

Evil Twin

Существует еще один вид атаки, который основан не только на технических моментах, но и на социальной инженерии. Смысл его заключается в том, чтобы заглушить основную точку доступа, развернуть со своего компьютера точно такую же (тот же MAC-адрес, такой же SSID), и обманным путем заставить пользователя ввести пароль, который будет перехвачен. Но для этого необходимо находиться недалеко от клиента, чтобы прием был достаточно сильный.

Для этого приема изобретено достаточно много программ, которые автоматизируют процесс, например wifiphisher. После запуска и создания точки доступа клиент подключается к ней и пробует зайти на любой сайт. Его запрос перенаправляется на локальную страницу хакера, где есть поле для ввода пароля от сети. Оформление страницы зависит от навыков социальной инженерии. К примеру, просьба обновить программное обеспечение для роутера и необходимость ввести пароль от Wi-Fi — придумано может быть что угодно.

 

Итог взлома

Остается лишь сделать небольшую ремарку по данному материалу: приведенный пример охватывает лишь необходимый минимум настроек программ для совершения данной операции. На самом деле, для описания всех опций, методов и хитростей придется написать книгу.

Что касается ограниченного радиуса действия, то это тоже не проблема для хакеров. Существуют узконаправленные антенны, которые могут принимать сигнал издалека, несмотря на ограниченность модуля Wi-Fi-карты. Программными способами ее можно разогнать до 30 dBm.

 

Взлом дополнительной защиты

Существуют дополнительные меры защиты беспроводной сети. На сайте «Лаборатории Касперского» опубликованы рекомендации, как сделать сеть более безопасной, но это подойдет больше для сфер применения WPA2 PSK. И вот почему:

1. Какой бы сложный пароль для авторизации ни был, при использовании радужных таблиц и хороших вычислительных ресурсов расшифровка пароля не будет помехой.
2. При использовании скрытого имени сети его не видно только в штатном режиме работы карты. Если запустить режим мониторинга, то SSID виден.

Что касается фильтрации MAC-адресов, то на роутере есть функция, которая позволяет задать определенные адреса, тем самым разрешить подключение к сети. Остальные устройства будут отвергнуты. Эта дополнительная защита сама по себе предполагает наличие у злоумышленника пароля.

Но и эту защиту можно обойти. При мониторинге конкретной точки доступа видно MAC-адреса клиентов, которые подключены.

 

Рисунок 6. MAC-адрес клиента, подключенного к точке доступа

 

 

Меняем MAC-адрес нашего сетевого интерфейса программным путем:

 ifconfig wlan0 down

 macchanger -m 00:d0:70:00:20:69 wlan0

 ifconfig wlan0 up

 macchanger -s wlan0

После этого MAC-адрес будет как у уже подключенного клиента, а это значит, что ему разрешено подключение. Теперь посылаем пакеты деавторизации данного клиента:

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:d0:70:00:20:69  wlan0mon

В тот момент, когда устройство отключится от сети, у хакера будет возможность подключиться к ней.

Безусловно, все приведенные рекомендации влияют на защищенность сети, так как они ставят палки в колеса хакерам, и просто ради интернета он не будет так усложнять себе жизнь. Но если говорить о крупных компаниях, то приведенные выше примеры доказывают, что WPA PSK не способна предоставить соответствующей защиты.

 

Безопасности WI-FI в корпоративной среде

Выше упоминалась разница WPA2 PSK и Enterprise. Однако есть еще существенное различие между этими технологиями: PSK использует методы шифрования трафика на основе пароля. Однако хакерам удалось, используя атаку KRACK, расшифровывать трафик без пароля, что позволяет слушать эфир и перехватывать пакеты без авторизации в сети, что вызывает классическую MITM-атаку.

Enterprise использует шифрование трафика на основе внутреннего ключа и сертификата, который генерирует сервер авторизации. Используя эту технологию, каждый пользователь имеет свой логин и пароль от корпоративной сети Wi-Fi. Настройки осуществляются очень тонко: каждому пользователю можно предоставить или запретить те или иные ресурсы, вплоть до определения vlan, в котором будет находиться устройство клиента. Атака KRACK не способна расшифровать трафик WPA2 Enterprise.

Если резюмировать все нюансы, то при использовании PSK базовый минимум защиты — это максимально возможная защита роутера. А именно:

1. Отключение WPS.
2. Сложный пароль от 10 символов, включающий цифры, буквы и спецсимволы (желательно менять раз в квартал).
3. Ограничение всех MAC-адресов, кроме допустимых.
4. Скрытая SSID.
5. Ограничение Wi-Fi-сети от общей корпоративной сети функциями vlan.

При использовании Enterprise достаточно сложных паролей и нестандартных логинов для клиентов, плюс свой сертификат шифрования трафика. Брутфорс «на живую» будет не эффективен, так как проходить будет очень медленно, а расшифровать трафик, не имея ключа, не получится.

 

Выводы

В статье были рассмотрены способы взлома Wi-Fi, и доказано, что это не так уж сложно. Поэтому, если пользоваться PSK — то защита беспроводной сети должна быть на самом высоком уровне, чтобы хакер потерял интерес еще до того, как он ее взломает. Но это не решает проблемы, например, уволенных сотрудников, поэтому лучше пароль время от времени менять.

При использовании Enterprise взлом маловероятен, и уволенные сотрудники не страшны, так как можно их блокировать (у каждого своя, тонко настроенная учетная запись).

Безопасность в сетях WiFi. WEP, WPA, WPA2 шифрование Wi-Fi сетей.

Серьезной проблемой для всех беспроводных локальных сетей (и, если уж на то пошло, то и всех проводных локальных сетей) является безопасность. Безопасность здесь так же важна, как и для любого пользователя сети Интернет. Безопасность является сложным вопросом и требует постоянного внимания. Огромный вред может быть нанесен пользователю из-за того, что он использует случайные хот-споты (hot-spot) или открытые точки доступа WI-FI дома или в офисе и не использует шифрование или VPN (Virtual Private Network — виртуальная частная сеть). Опасно это тем, что пользователь вводит свои личные или профессиональные данные, а сеть при этом не защищена от постороннего вторжения.

WEP

Изначально было сложно обеспечить надлежащую безопасность для беспроводных локальных сетей.

Хакеры легко осуществляли подключение практически к любой WiFi сети взламывая такие первоначальные версии систем безопасности, как Wired Equivalent Privacy (WEP). Эти события оставили свой след, и долгое время некоторые компании неохотно внедряли или вовсе не внедряли у себя беспроводные сети, опасаясь, что данные, передаваемые между беспроводными WiFi устройствами и Wi-Fi точками доступа могут быть перехвачены и расшифрованы. Таким образом, эта модель безопасности замедляла процесс интеграции беспроводных сетей в бизнес и заставляла нервничать пользователей, использующих WiFi сети дома. Тогда институт IEEE, создал рабочую группу 802.11i , которая работала над созданием всеобъемлющей модели безопасности для обеспечения 128-битного AES шифрования и аутентификации для защиты данных. Wi-Fi Альянс представил свой собственный промежуточный вариант этого спецификации безопасности 802.11i: Wi-Fi защищенный доступ (WPA – Wi-Fi Protected Access). Модуль WPA сочетает несколько технологий для решения проблем уязвимости 802.11 WEP системы. Таким образом, WPA обеспечивает надежную аутентификацию пользователей с использованием стандарта 802.1x (взаимная аутентификация и инкапсуляция данных передаваемых между беспроводными клиентскими устройствами, точками доступа и сервером) и расширяемый протокол аутентификации (EAP).

Принцип работы систем безопасности схематично представлен на рис.1

 

Также, WPA оснащен временным модулем для шифрования WEP-движка посредствам 128 – битного шифрования ключей и использует временной протокол целостности ключей (TKIP). А с помощью контрольной суммы сообщения (MIC) предотвращается изменение или форматирование пакетов данных. Такое сочетание технологий защищает конфиденциальность и целостность передачи данных и гарантирует обеспечение безопасности путем контроля доступа, так чтобы только авторизованные пользователи получили доступ к сети.

WPA

Дальнейшее повышение безопасности и контроля доступа WPA заключается в создании нового уникального мастера ключей для взаимодействия между каждым пользовательским беспроводным оборудованием и точками доступа и обеспечении сессии аутентификации. А также, в создании генератора случайных ключей и в процессе формирования ключа для каждого пакета.

В IEEE стандарт 802.11i, ратифицировали в июне 2004 года, значительно расширив многие возможности благодаря технологии WPA. Wi-Fi Альянс укрепил свой модуль безопасности в программе WPA2. Таким образом, уровень безопасности передачи данных WiFi стандарта 802.11 вышел на необходимый уровень для внедрения беспроводных решений и технологий на предприятиях. Одно из существенных изменений 802.11i (WPA2) относительно WPA это использования 128-битного расширенного стандарта шифрования (AES). WPA2 AES использует в борьбе с CBC-MAC режимом (режим работы для блока шифра, который позволяет один ключ использовать как для шифрования, так и для аутентификации) для обеспечения конфиденциальности данных, аутентификации, целостности и защиты воспроизведения. В стандарте 802.11i предлагается также кэширование ключей и предварительной аутентификации для упорядочивания пользователей по точкам доступа.

 

WPA2

Со стандартом 802.11i, вся цепочка модуля безопасности (вход в систему, обмен полномочиями, аутентификация и шифрование данных) становится более надежной и эффективной защитой от ненаправленных и целенаправленных атак. Система WPA2 позволяет администратору Wi-Fi сети переключиться с вопросов безопасности на управление операциями и устройствами.

Стандарт 802.11r является модификацией стандарта 802.11i. Данный стандарт был ратифицирован в июле 2008 года. Технология стандарта более быстро и надежно передает ключевые иерархии, основанные на технологии Handoff (передача управления) во время перемещения пользователя между точками доступа. Стандарт 802.11r является полностью совместимой с WiFi стандартами 802.11a/b/g/n.

Также существует стандарт 802.11w , предназначенный для усовершенствования механизма безопасности на основе стандарта 802.11i. Этот стандарт разработан для защиты управляющих пакетов.

Стандарты 802.11i и 802.11w – механизмы защиты сетей WiFi стандарта 802.11n.

Шифрование файлов и папок в Windows 7

Функция шифрования позволяет вам зашифровать файлы и папки, которые будет в последствии невозможно прочитать на другом устройстве без специального ключа. Такая возможность присутствует в таких версиях пакетаWindows 7 как Professional, Enterprise или Ultimate. Далее будут освещены способы включения шифрования файлов и папок.

Включение шифрования файлов:

Пуск -> Компьютер(выберите файл для шифрования)-> правая кнопка мыши по файлу->Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты->Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->Закрыть диалог Свойства(Нажать Ok или Закрыть).

Включение шифрования папок:

Пуск -> Компьютер(выберите папку для шифрования)-> правая кнопка мыши по папку-> Свойства->Расширенный(Генеральная вкладка)->Дополнительные атрибуты-> Поставить маркер в пункте шифровать содержимое для защиты данных->Ок->Применить->Ok(Выберите применить только к файлу)->Закрыть диалог Свойства(Нажать Ok или Закрыть).

В обоих случая в области уведомления появится предложение сделать резервную копию ключа шифруемых файлов или папок. В диалоговом окне вы сможете выбрать место сохранения копии ключа (рекомендуется съемный носитель). Файл или папка изменит свой цвет при удачном шифровании.

Шифрование крайне полезно если вы делите свой рабочий компьютер с несколькими людьми.

Сфера применения

В большинстве случаев беспроводные сети (используя точки доступа и маршрутизаторы) строятся в коммерческих целях для привлечения прибыли со стороны клиентов и арендаторов. Сотрудники компании «Гет Вайфай» имеют опыт подготовки и реализации следующих проектов по внедрению сетевой инфраструктуры на основе беспроводных решений: 

Если у Вас после прочтения возникнут какие-либо вопросы, Вы можете задать их через форму отправки сообщений в разделе контакты.

17 способов защитить домашнюю WiFi-сеть

Почему защита домашнего Wi-Fi так важна? Разве его небезопасно использовать?

Зависит от обстоятельств. Проблемы безопасности или кибератаки могут никогда вас не коснуться, и вы не станете жертвой киберпреступников из-за слабой защиты вашей точки доступа Wi-Fi. Но если это произойдёт, они смогут перехватить ваш трафик по Wi-Fi и завладеть вашими конфиденциальными финансовыми и личными данными.

А это может случиться с каждым. Миллионы сетей Wi-Fi подвергаются риску взлома. И, как описано в этой статье, взломать домашнюю сеть Wi-Fi не так уж и сложно.

Чтобы избежать этого, лучше принять надлежащие меры. Но не беспокойтесь, поскольку вам не нужно искать информацию на эту тему и читать кучу статей и электронных книг. Мы подготовили всю необходимую информацию в этой статье.

Вот как можно защитить домашний Wi-Fi:

1. Измените идентификатор SSID вашей сети

Идентификатор SSID (Service Set Identifier – идентификатор набора служб) — это, по сути, имя вашей точки доступа Wi-Fi. По умолчанию, идентификатор SSID вашего роутера будет одним из следующих:

• Фирменное название и/или модель роутера, если вы приобрели роутер непосредственно у производителя.
• Имя вашего интернет-провайдера, если вы приобрели роутер у него.

Если имя сети совпадает с моделью роутера, это может представлять угрозу для безопасности. Почему? Потому что хакер может увидеть идентификатор SSID и просто посмотреть руководство по эксплуатации роутера в Интернете. Если вы не изменили присвоенные по умолчанию данные авторизации (которые мы обсудим в следующей подсказке), злоумышленник может найти эту информацию в руководстве по эксплуатации и использовать её для взлома вашего роутера.

Если идентификатор SSID сети — это имя вашего интернет-провайдера, это не так плохо, но всё же опасно. Очень опытный хакер может использовать эту информацию для отправки фишинговых атак вашему провайдеру с целью завладеть вашей конфиденциальной информацией. Конечно, это случается не так часто, но риск всегда есть.

Поэтому лучше всего просто переименовать свою сеть Wi-Fi. Не нужно придумывать что-то слишком причудливое — никаких настоящих имён и адресов или любых шуток или ссылок, которые могли бы указать на вас. Просто абстрактное, неприметное название.

2. Не используйте присвоенные по умолчанию пароль и имя пользователя

Практически у каждого роутера имеется пароль и логин, присвоенные по умолчанию. Это позволяет владельцам роутеров легко получить доступ к управлению роутером, но это также облегчает хакерам задачу по взлому роутера. Просто представьте — какой-нибудь киберпреступник просто скачал с Интернета руководство по эксплуатации определённго роутера в PDF и использовал предоставленные в нём данные для входа.

Пугает, не правда ли?

Именно поэтому вам нужно изменить имя пользователя и пароль — прямо сейчас, если это возможно. Если вы не знаете, как придумать надёжные пароли, вы можете использовать наше специальное руководство. Также там есть информация про безопасные логины. Вот основные тезисы:

• Используйте пробелы, если это возможно.
• Не используйте словарные слова. Если вы используете настоящие слова, просто напишите буквы в них в обратном порядке.
• Чередуйте прописные и строчные буквы, цифры и символы.
• Придумайте пароль и имя пользователя, состоящие минимум из 15 символов.
• Избегайте очевидных замен (например, «$» вместо «s»).
• В крайнем случае имя пользователя и пароль могут быть аббревиатурами фразы («YutvtWHe2y «для «You used to visit the White House every 2 years.»).

И обязательно регулярно меняйте пароль и имя пользователя. Неплохо было бы менять пароль и имя пользователя каждые пару месяцев, но лучше менять их каждый месяц или каждую неделю, что намного безопаснее.

Кроме того, если у вас несколько роутеров, лучше использовать диспетчер паролей (например, KeePass, KeePassXC, LessPass или Bitwarden), чтобы вам было проще запомнить их. Если у вас только один пароль, вы можете просто записать его в блокнот, который нужно хранить в недоступном месте или сейфе.

3. Не давайте никому свой пароль от Wi-Fi

Можно делиться своим паролем от Wi-Fi со своими детьми или близкими друзьями, но не нужно давать его каждому, кто приходит в ваш дом. Например, не рекомендуется давать пароль от Wi-fi своему коллеге по работе, которого вы не очень хорошо знаете, если он зашёл, чтобы забрать документы или помыть руки. То же самое относится и к приходящим на дом продавцам, сантехникам, садовникам или электрикам тоже. Ваш дом — не гостиница и не ресторан, в конце концов, поэтому пусть пользуются своим мобильным Интернетом.

Тем не менее, хорошим решением в этом случае является настройка гостевой сети. Таким образом, вы можете предложить своим гостям доступ к Wi-fi, и вам не придётся беспокоиться о конфиденциальности вашей основной сети (и любых подключённых к ней устройств).

4. Используйте на своём роутере шифрование WPA2

Шифрование Wi-Fi гарантирует, что нежелательные пользователи будут иметь ограниченный доступ к вашему Wi-Fi и ко всем связанным с ним данным. У роутера может быть шифрование WEP, WPA и WPA2. В идеале лучше не использовать шифрование WEP и WPA, потому что они значительно устарели и могут быть с лёгкостью взломаны киберпреступниками .

Поэтому, проверяйте, работает ли на вашем роутере WPA2. Если на нём работает WEP или WPA, переключитесь на WPA2 как можно скорее.

Но безопасность заключается не только в WPA2. Хотя использовать WPA2 намного безопаснее, чем WPA и WEP, у WPA2 тоже есть уязвимость — атака KRACK (Атака с переустановкой ключа). Хотя эта уязвимость была обнаружена добрыми хакерами, ничто не мешает злоумышленникам использовать этот метод, чтобы взломать шифрование WPA2 на вашем роутере.

Рекомендуется регулярно обновлять прошивку, но и это не гарантирует полной защиты от кибератаки KRACK. К счастью, наконец-то будет выпущено шифрование WPA3, которое сможет закрыть эту уязвимость. До тех пор, пока он не станет доступным всем, соблюдайте остальные методы безопасности, о которых мы рассказывали в этой статье, вместе с использованием шифрования WPA2.

5. Настройте подключение к VPN на своём роутере

VPN (Virtual Private Network) — это онлайн-сервис, который вы можете использовать для скрытия вашего реального IP-адреса посредством шифрования интернет-соединения. Это отличный Сервис при использовании общедоступного Wi-Fi, потому как он гарантирует, что никто не может контролировать то, что вы делаете в Интернете.

Мало кто знает, но вы также можете использовать VPN на своём роутере прямо у себя дома. Правда, не все роутеры изначально поддерживают VPN, но надёжный VPN-Сервис может помочь вам настроить его на роутере. Таким образом, все устройства, использующие вашу домашнюю сеть Wi-Fi, получат возможность использовать функции VPN. То есть весь ваш трафик Wi-Fi будет на 100% зашифрован благодаря VPN.

В этом случае вам даже не нужно беспокоиться о том, что киберпреступник может взломать ваше шифрование, потому что шифрование VPN обеспечит дополнительную защиту. Более того, VPN на роутере защитит вас от взлома WiFi-сети (когда кто-то использует ваш Wi-Fi без разрешения — часто в незаконных целях).

Ищете надёжный VPN-Сервис?

Тогда у нас для вас есть отличное предложение. CactusVPN предлагает высококачественные VPN-услуги, среди которых шифрование на военном уровне, круглосуточная поддержку, функция Kill Switch, более 30 высокоскоростных серверов с неограниченной пропускной способностью, а также до шести VPN-протоколов на выбор. Более того, мы не записываем ваши данные, и наш Сервис работает на нескольких платформах.

И если вы захотите попробовать другие способы разблокировки веб-сайтов, мы также предлагаем услугу Smart DNS, которая открывает доступ к более 300 сайтов. Кроме всего прочего, все наши VPN-серверы дополняются прокси-серверами.

Специальное предложение! Получите CactusVPN за 3.5$ в месяц!

И как только вы станете клиентом CactusVPN, у вас будет 30-дневная гарантия возврата денег.

Сэкономьте 64% сейчас

6. Не оставляйте Wi-Fi сеть включённой, когда не пользуетесь ей 

Один из способов снизить риск взлома вашей сети Wi-Fi — просто отключать её, когда она вам не нужна. Вам ведь не нужен роутер, когда вы на работе, в отпуске или спите? Лучше выключить его в таких ситуациях, чтобы не дать хакерам возможность взломать вашу сеть, пока вы находитесь вдали от дома или спите.

Кроме того, помимо дополнительной защиты, выключение роутера на период, пока вы находитесь вне дома, защитит его от случайных перепадов электроэнергии, поможет вам немного сэкономить на электричестве, а также защитить окружающую среду.

7. Разместите роутер в центре дома

«Действительно ли так важно, где стоит мой роутер?»

Да, это важно. И дело не только в том, чтобы Wi-fi хорошо работал во всех комнатах. А в том, чтобы посторонние не имели доступа к сигналу вашего Wi-Fi.

Если вы разместите роутер близко к окну, часть его сигнала уйдёт наружу, и прохожие смогут поймать его на своих мобильных устройствах. В то же время, если роутер стоит слишком близко к стене, то высока вероятность, что ваш сосед может поймать сигнал вашего Wi-Fi.

Вот почему стоит разместить роутер в центре дома. Это гарантирует, что посторонние люди не будут иметь возможности использовать ваш сигнал Wi-Fi. Вы даже можете попробовать проверить диапазон сигнала, пройдясь возле своего дома с телефоном в руке, чтобы увидеть, обнаруживает ли он сигнал вашего Wi-Fi.

К сожалению, этот способ не будет слишком эффективным, если вы живёте в многоквартирном доме, так как ваши соседи сверху или снизу могут поймать сигнал вашего роутера независимо от того, где вы его разместите в квартире. Этот способ работает эффективнее, когда вы живёте в частном доме.

8. Отключите удалённый доступ как можно быстрее

Удалённый доступ иногда очень удобен, так как он позволяет управлять роутером через Интернет без использования устройства, подключённого к домашней сети Wi-Fi. Это отличный способ решить проблемы или изменить настройки, если вы не дома, а у ваших детей отключился Интернет, например.

Однако удалённый доступ также имеет свои недостатки. Если вы можете использовать Интернет для удалённого доступа к роутеру, то и опытный хакер тоже сможет. Вам точно не захочется, чтобы хакер взломал вашу учётную запись и использовал вашу сеть, чтобы завладеть конфиденциальными данными.

Поэтому отключите эту функцию, если она включена.

9. Установите защиту от вирусов и вредоносных программ для своего Wi-Fi

Да, сервисы для защиты от вредоносных программ и вирусов для роутеров на самом деле существуют. Возможность их настройки полностью зависит от марки роутера. Это дополнительная мера для защиты домашнего Wi-Fi. Вредоносные атаки ранее были нацелены на роутеры, так что не стоит недооценивать риски.

Защита от вредоносных программ и вирусов для Wi-Fi может быть как в программном, так и в аппаратном форматах. Вот некоторые из лучших решений для защиты роутеров, сети и подключённых к ней устройств:

10. Убедитесь, что фаервол роутера включён

Большинство роутеров имеют встроенный фаервол. Чтобы проверить, включен ли он, просто откройте консоль роутера и проверьте вкладку по безопасности. Если вы видите, что фаервол не включен, включите его. Фаервол – хороший способ дополнительной защиты для домашнего Wi-Fi, так как он может быть настроен для предотвращения использования вашей сети для вредоносного трафика.

Если ваш роутер не имеет встроенного фаервола, вы всегда можете приобрести аппаратный. Большинство сервисов, о которых мы упоминали выше, отлично работают.

11. Отключите UPnP (Universal Plug n Play)

UPnP на самом деле очень полезен для роутера, поскольку он позволяет ему взаимодействовать с веб-сайтом производителя для скачивания обновления и других файлов. UPnP – это протокол, который позволяет интеллектуальным устройствам подключаться к Интернету для получения интеллектуальных функций.

К сожалению, UPnP также могут легко использовать хакеры в собственных целях. Был случай, когда киберпреступникам удалось через UPnP добавить около 65 000 роутеров в ботнет для совершения различных преступлений, включая фишинг, мошенничество с кредитными картами, кражу учётных записей, накрутку кликов и распространение вредоносного ПО. Кроме того, UPnP также использовался и для других атак вредоносных программ.

Именно поэтому лучше отключить возможности и совместимость UPnP на роутере и смарт-устройствах. Чтобы вы могли использовать утилиты UPnP и на своих смарт-устройствах, сначала настройте UPnP и запустите его, а затем отключите.

12. Не используйте WPS (WiFi Protected Setup – стандарт безопасной настройки беспроводной сети)

WPS довольно удобен, так как предлагает альтернативные способы подключения к домашней сети Wi-Fi, чем просто ввод длинного пароля. Такие способы включают в себя:

• Ввод восьмизначного PIN-кода.
• Нажатие кнопки WPS на роутере.

Намного проще, да?

Это правда, но есть одна большая проблема – использование WPS довольно рискованно, и ставит безопасность вашего Wi-Fi под угрозу. Во-первых, восьмизначный PIN-код не является безопасным способом входа, поскольку восьмизначный пароль не очень безопасен. Восьмизначный PIN-код WPS легко может быть взломан, поскольку роутер проверяет первые четыре цифры и последние четыре цифры PIN-кода отдельно. PIN-код WPS может быть взломан примерно за один-два дня.

Что насчёт кнопки WPS? Использование этой кнопки намного безопаснее, чем использование PIN-кода, так как для завершения соединения вам нужно физически нажать на кнопку. Тем не менее, всегда есть риск, что злоумышленник (вор или случайный знакомый) может использовать кнопку WPS, если у него есть физический доступ к вашему роутеру. И тогда вашу сеть Wi-Fi легко можно будет взломать.

В общем, вы можете использовать кнопку WPS, только если вам действительно и крайне необходимо нужен этот метод подключения к Wi-Fi. Просто постарайтесь сделать так, чтобы к этой кнопке имели доступ только проверенные люди. Но если вы хотите быть на 100% уверены, что WPS не ставит под угрозу ваш Wi-Fi и данные, лучше просто отключить эту функцию.

13. Держите прошивку роутера в актуальном состоянии

В отличие от большинства устройств, обновление прошивки роутера не такой уж удобный процесс. Некоторые модели роутеров не поддерживают функции автоматического обновления, поэтому вам нужно делать это вручную по инструкции на сайте производителя. Что касается большинства роутеров, которые поддерживают автоматические обновления, то эту функцию обязательно нужно включить, так как по умолчанию она отключена.

Но это того стоит. Если вы не обновляете прошивку вашего роутера регулярно, то вы подвергаете себя всевозможным потенциальным киберугрозам. Например, благодаря обновлению прошивки можно исправить критические ошибки, которые позволяют хакерам получить доступ к вашему роутеру.

14. Используйте фильтрацию MAC-адресов

У многих роутеров есть опция «Фильтрация MAC-адресов» или «Фильтрация MAC». MAC означает контроллер доступа к среде, а MAC-адрес — уникальный идентификатор, присваиваемый устройству, которое может получить доступ к Интернету. Если включить фильтрацию MAC-адресов, то только устройства с утверждённым MAC-адресом могут подключаться к сети Wi-Fi.

Но имейте в виду, что фильтрация MAC-адресов никоим образом не гарантирует вам 100% безопасность сети Wi-Fi. Если киберпреступник имеет доступ к сетевому анализатору пакетов Wi-Fi, он может видеть MAC-адреса, разрешённые в вашей сети. Тогда ему останется только изменить MAC-адрес своего собственного устройства на допустимый адрес, и тогда он сможет обойти фильтрацию.

Фильтрация MAC в основном эффективна, когда вы хотите уберечь Wi-Fi от соседей, которые узнали ваш пароль от вас, ваших друзей или ваших детей.

15. Следите за портом 32764

Если вы не очень разбираетесь в портах, то это специальные номера, присваиваемые различным протоколам, которые определяют способ отправки и получения информации через Интернет. Номера портов работают как беспроводные каналы, а блокирование одного номера означает блокировку определённого протокола. Например, если вы блокируете порт 443, вы блокируете весь трафик HTTPS.

А вот порт 32764 очень проблемный. Почему? Всё очень просто — потому что он позволяет киберпреступникам отслеживать конфиденциальные данные и выполнять всевозможные команды. И что самое худшее — с 2014 года стало известно, что некоторые модели роутеров прослушиваются портом 32764.

Итак, иметь открытый порт — уже самое по себе достаточный риск безопасности, но если это ещё и открытый порт, который можно легко взломать — то это ещё опаснее. Хотя эта проблема была якобы исправлена, возможность обновления прошивки, по-видимому, вновь сделало открытие этого порта возможным.

Есть информация, что эта проблема в основном касается роутеров SerComm. Уже лучше. Тогда нужно просто избегать роутеров SerComm, и всё должно быть хорошо, верно?

Не совсем. Основная проблема заключается в том, что компания SerComm производит и поставляет роутеры другим компаниям, таким как Cisco, Linksys, Netgear и Diamond. Рекомендуем проверить не входит ли марка вашего роутера в этот список.

Процесс прослушивания портов может быть активирован только внутри сети, но мы всё же советуем воспользоваться этой ссылкой и проверить, открыт ли порт у вашего роутера. Если порт открыт, то вам нужно как можно скорее связаться с поставщиком роутера и попросить его о помощи. Обычно поставщики могут решить эту проблему (например, при помощи патча). Если же поставщик вашего роутера не может решить вашу проблему, лучше всего обратиться в другую компанию и приобрести у неё более безопасный роутер.

К сожалению, если вы просто закроете порт, это не решит проблему. Он уже был открыт один раз, поэтому его можно открыть снова.

16. Скройте SSID вашей сети

Если у вас есть домашняя сеть Wi-Fi, не нужно раздавать её кому попало. Лучше всего отключить отображение SSID, чтобы оно не привлекало внимания киберпреступников. Это также поможет вам избежать необходимости отказывать вашим гостям в подключении к вашему Wi-Fi, так как они просто увидят «Скрытую сеть» или вообще ничего не увидят в своём списке доступных сетей Wi-Fi.

Конечно, если вы покупаете новое устройство, могут возникнуть трудности с его подключением к вашей сети. Но вы можете легко решить эту проблему, просто включив вещание SSID для подключения нового устройства, а затем снова отключив его. Не волнуйтесь — ранее подключённые устройства не будут иметь проблем с повторным подключением, даже если сеть будет скрыта.

17. И последнее — защитите устройства, которые всегда подключены к вашему Wi-Fi

Нет смысла защищать домашний Wi-Fi, если при этом не защищать устройства, которые постоянно подключены к вашей сети. Например, ноутбук или мобильный телефон. Если их взломают, а вы подключаете их к своей сети Wi-Fi, то её тоже могут взломать.

Чтобы убедиться, что большинство ваших устройств защищено, сделайте следующее:

• Установите антивирусные программы на все устройства, которые можете.
• Установите VPN на остальные устройства, даже если у вас включен VPN на роутере.
• Не позволяйте малознакомым людям вставлять USB-накопители в ваш компьютер или ноутбук.
• Старайтесь, чтобы все операционные системы и программы безопасности регулярно обновлялись.
• Установите ежедневное сканирование безопасности.
• Не открывайте сомнительные письма, используйте блокировщики скриптов в своих браузерах (uMatrix и uBlock Origin) и используйте антифишинговые расширения.

И поскольку вы не можете защитить устройства своих гостей, это ещё одна веская причина настроить для них гостевую сеть Wi-Fi, чтобы не было риска случайного заражения вашей основной сети каким-либо вредоносным ПО.

Как обеспечить безопасность Wi-Fi дома — вся суть

Домашняя сеть Wi-Fi — одна из самых удобных технологических разработок последних десятилетий. К сожалению, она не идеальна и имеет много уязвимостей. Поэтому, если вы хотите узнать, как защитить свой домашний Wi-Fi, вот что вы должны сделать:

• Включите фаервол на роутере. Если у него нет встроенного фаервола, установите аппаратный.
• Повысьте безопасность вашей сети с помощью антивируса и защиты от вредоносных программ.
• Настройте VPN на роутере для шифрования.
• Включите шифрование WPA2 на роутере, но имейте в виду, что это не на 100% безопасно.
• Поменяйте идентификатор SSID вашей сети, а также логин и пароль для входа в консоль управления роутера. Кроме того, по возможности отключите отображение SSID.
• Никому не давайте свой пароль от Wi-Fi. Вместо этого настройте гостевую сеть.
• Отключите WPS, UPnP, удалённый доступ и включите фильтрацию MAC-адресов во время использования Wi-fi.
• Убедитесь, что роутер не прослушивает порт 32764.
• Регулярно обновляйте прошивку роутера.
• Убедитесь, что все устройства, используемые для регулярного подключения к Wi-Fi, защищены.
• Разместите роутер в середине вашего дома, чтобы его сигнал не выходил за пределы вашего дома или квартиры.
• Если вы не используете Wi-Fi (например, когда вы спите, находитесь на работе или в отпуске), отключите её.

10 главных советов по защите домашней сети Wi-Fi

Наш все более технологичный мир означает, что наши дома теперь заполнены широким спектром гаджетов и устройств, для которых требуется подключение к Интернету. Будь то наш компьютер, планшет, телефон, холодильник, телевизор или радионяня, наша растущая зависимость от Интернета для подключения всех наших устройств открывает двери для многих рисков и создает ряд проблем с безопасностью.

Многие люди просто не знают об угрозах безопасности, которые могут представлять эти устройства, если они не защищены должным образом с помощью безопасной сети Wi-Fi.Мы бы никогда не мечтали оставить открытой входную дверь в наш дом, но если оставить наши сети Wi-Fi незащищенными, это подвергнет нас тем же угрозам безопасности.

Хакеры склонны к гибкости и готовы воспользоваться любым недостатком безопасности, чтобы запустить целевую атаку. Если хакеры могут получить доступ к вашей домашней сети, они могут украсть личную и финансовую информацию, заразить ваши устройства вирусами и вредоносными программами, совершить киберпреступность с вашего устройства или запустить распределенную атаку отказа в обслуживании (DDOS).

Защита вашей домашней сети имеет важное значение, когда дело доходит до защиты ваших данных от злоумышленников.

Как защитить домашнюю сеть Wi-Fi

Чтобы защитить свой дом и уберечь его от хакеров, вы можете предпринять несколько шагов:

1. Измените имя пользователя и пароль по умолчанию

Первое и самое важное, что вы должны сделать для защиты домашней сети Wi-Fi, — это изменить имя пользователя и пароль по умолчанию на более безопасные.

Провайдеры

Wi-Fi автоматически назначают имя пользователя и пароль для сети, и хакеры могут легко найти эти пароли по умолчанию в Интернете. Если они могут получить доступ к сети, они могут изменить пароль на любой, какой захотят, заблокировать владельца и захватить сеть.

Изменение имени пользователя и пароля затрудняет злоумышленникам определение, чей это Wi-Fi, и получение доступа к сети. У хакеров есть сложные инструменты для проверки тысяч возможных комбинаций пароля и имени пользователя, поэтому очень важно выбрать надежный пароль, который сочетает в себе буквы, цифры и символы, чтобы затруднить взлом.

2. T Урна с шифрованием беспроводной сети

Шифрование

— один из наиболее эффективных способов защиты данных в сети. Шифрование работает путем шифрования ваших данных или содержимого сообщения, чтобы хакеры не могли его расшифровать.

Самый безопасный тип шифрования для домашней сети Wi-Fi — это WPA2. Если у вас есть старые устройства, возраст которых не превышает 10 лет, они могут быть несовместимы с WPA2, поэтому будет жизненно важно обновить домашние устройства для повышения безопасности и производительности.

Чтобы проверить, использует ли ваш маршрутизатор шифрование WPA2, просмотрите настройки сети и проверьте свойства беспроводной сети. Это позволит вам выбрать лучший метод шифрования при подключении к беспроводной сети.

3. Используйте VPN (виртуальную частную сеть)

VPN — это сеть, которая позволяет вам общаться по незащищенной, незашифрованной сети в частном порядке. VPN шифрует ваши данные, чтобы хакер не мог сказать, что вы делаете в сети или где находитесь.

VPN также изменит ваш IP-адрес, создавая впечатление, что вы используете свой компьютер не из вашего домашнего адреса. Помимо настольного компьютера его также можно использовать на ноутбуке, телефоне или планшете.

4. Скрыть вашу сеть от просмотра

При первоначальной настройке домашней сети вам будет предложено создать общедоступное сетевое имя, также известное как SSID (идентификатор набора услуг). Большинство устройств настроены с сетевым именем по умолчанию, назначенным производителем.Есть большая вероятность, что если у ваших соседей есть устройство от того же производителя, у них также будет одинаковый SSID, что может стать кошмаром безопасности, если обе сети не зашифрованы.

Скрытие SSID — это функция, которая позволит вам скрыть свое сетевое имя из списка людей в окрестностях. При изменении имени по умолчанию хакеру становится намного сложнее узнать, какой у вас тип маршрутизатора, что снижает вероятность атаки.

5. Выключайте сеть Wi-Fi, когда нет дома

Звучит просто, но один из самых простых способов защитить домашнюю сеть от атак — выключить ее, когда вас нет дома.Ваша домашняя сеть Wi-Fi не должна работать 24 часа в сутки, семь дней в неделю. Отключение Wi-Fi, когда вы находитесь вдали от дома, снижает вероятность того, что хакеры попытаются проникнуть в вашу домашнюю сеть, когда вас нет.

6 . Регулярно обновляйте программное обеспечение маршрутизатора

Необходимо обновить программное обеспечение Wi-Fi

, чтобы защитить сетевую безопасность вашего дома. Прошивка маршрутизатора, как и любое другое программное обеспечение, может содержать уязвимости, которые стремятся использовать хакеры.У большинства маршрутизаторов нет возможности автоматического обновления, поэтому вам придется вручную обновлять программное обеспечение, чтобы обеспечить защиту вашей домашней сети.

7. Используйте межсетевые экраны

Большинство маршрутизаторов W-Fi содержат встроенный сетевой брандмауэр, который защищает широкополосные соединения и предотвращает любые сетевые атаки со стороны злоумышленников. Их также можно отключить, поэтому важно убедиться, что брандмауэр домашнего маршрутизатора включен, чтобы добавить еще один уровень защиты к домашней безопасности.

8. Разместите маршрутизатор в центре дома

Домовладельцы часто не осознают, что расположение их маршрутизатора может повлиять на безопасность. Если ваш маршрутизатор расположен рядом с дверью или окном, это увеличивает вероятность того, что ваш сигнал Wi-Fi будет перехвачен кем-то со злым умыслом. Чтобы повысить безопасность домашнего Wi-Fi, лучше всего разместить маршрутизатор Wi-Fi как можно ближе к центру дома, и это снизит вероятность подключения хакеров к вашей сети.

9. Включить фильтрацию MAC-адресов

Большинство широкополосных маршрутизаторов будут иметь уникальный идентификатор, называемый физическим адресом или адресом управления доступом к среде (MAC). Этот адрес направлен на повышение безопасности за счет ограничения количества устройств, которые могут подключаться к домашней сети. Домовладельцы имеют возможность вводить MAC-адреса всех устройств в доме, и это ограничивает сеть, позволяя соединения только с этих утвержденных адресов. Это обеспечивает еще один уровень безопасности, помогающий держать хакеров в страхе.

10. Отключить удаленное администрирование

Другой способ, которым хакеры могут получить доступ к домашнему сетевому соединению, — это функция удаленного администрирования на маршрутизаторе. Удаленное администрирование позволяет любому, кто находится достаточно близко к вашему дому, просматривать или изменять ваши настройки Wi-Fi. Если вам не нужно удаленно подключаться к маршрутизатору Wi-Fi, лучше отключить эту функцию. Это можно сделать, зайдя в раздел администрирования настроек Wi-Fi и нажав кнопку отключения.

MetaCompliance специализируется на создании лучших обучающих курсов по информационной безопасности, доступных на рынке. Свяжитесь с нами, чтобы получить дополнительную информацию о нашем обширном ассортименте информационных курсов по кибербезопасности.

Как обезопасить свой Wi-Fi роутер и защитить свою домашнюю сеть

Если вам повезет, процесс будет автоматическим; вы даже можете получать оповещения на свой телефон каждый раз, когда применяется обновление прошивки, что обычно происходит в одночасье. Если вам не повезло, возможно, вам придется загрузить новую прошивку с сайта производителя и направить на нее свой маршрутизатор.Если да, то это стоит дополнительных усилий.

Отключить удаленный доступ, UPnP и WPS

Многие маршрутизаторы поставляются с функциями, предназначенными для упрощения удаленного доступа извне вашего дома, но, если вам не нужен доступ на уровне администратора к маршрутизатору из другого места, вы обычно можете безопасно включить эти функции отключены на панели настроек роутера. Кроме того, большинство приложений удаленного доступа нормально работают и без них.

Еще одна особенность, на которую стоит обратить внимание, — это универсальный Plug and Play. UPnP, разработанный, чтобы упростить для таких устройств, как игровые приставки и смарт-телевизоры, доступ в Интернет, не заставляя вас пробираться через множество экранов конфигурации, также может использоваться вредоносными программами для получения высокоуровневого доступа к настройкам безопасности вашего маршрутизатора.

Если оставить удаленный доступ и UPnP включенными, это не приведет к внезапному ухудшению ситуации в Интернете, но если вы хотите быть в максимальной безопасности, отключите их. Если окажется, что некоторые приложения и устройства в вашей сети полагаются на них, вы можете снова включить эти функции, не беспокоясь об этом.

Вам также следует подумать об отключении Wi-Fi Protected Setup. WPS имеет добрые намерения, позволяя подключать новые устройства с помощью нажатия кнопки или PIN-кода, но это также упрощает получение доступа неавторизованными устройствами; цифровой PIN-код легче подобрать, чем буквенно-цифровой пароль.Если вам это не нужно, отключите его.

Использовать гостевую сеть, если она доступна

Если ваш маршрутизатор имеет возможность транслировать так называемую гостевую сеть, воспользуйтесь ею. Как следует из названия, это означает, что вы можете предоставить своим гостям доступ к соединению Wi-Fi, не позволяя им подключаться к остальной части вашей сети — вашим динамикам Sonos, общим папкам на вашем ноутбуке, вашим принтерам и так далее.

Это не похоже на то, что ваши друзья и семья являются замаскированными хакерами, но разрешение им в вашей основной сети означает, что они могут получить доступ к файлу, который вы бы предпочли, чтобы они не сделали, или непреднамеренно изменить настройку где-то, что вызывает у вас проблемы.Это также создает еще один удар скорости на пути тех, кто тайно пытается получить доступ к вашей сети без вашего разрешения — даже если они смогут войти в гостевую сеть, они не смогут взять под контроль вашу другую. устройства или ваш маршрутизатор.

У вашего маршрутизатора должна быть возможность скрыть SSID вашей основной сети — в основном имя сети, которое появляется, когда ваши устройства ищут Wi-Fi. Если посетители не видят эту сеть, они не могут подключиться к ней, но вы сможете добавлять в нее устройства, потому что знаете, как она называется.(И если вы не уверены, он будет указан в настройках вашего маршрутизатора.)

Не забывайте о безопасности

Несмотря на десятилетия относительного пренебрежения, большинство маршрутизаторов, выпущенных за последние пару лет, имеют превосходную встроенную безопасность. Производители ценят важность безопасности и надежности маршрутизаторов больше, чем когда-либо, поэтому продукты стали намного удобнее для пользователя, чем раньше. Теперь они обрабатывают за вас множество ключевых настроек безопасности.

Имея это в виду, один из самых серьезных рисков для вашего маршрутизатора заключается в том, что он скомпрометирован устройством, которому, по его мнению, может доверять — другими словами, что-то на вашем телефоне или ноутбуке получает к нему доступ и причиняет вред, возможно, из-за тайно открывая точку входа в ваш маршрутизатор, к которой можно получить удаленный доступ.

Защита беспроводной сети | Kaspersky

Использование беспроводной сети в вашем доме дает вам возможность использовать свой компьютер практически в любом месте вашего дома — и при этом иметь возможность подключаться к другим компьютерам в вашей сети или выходить в Интернет. Однако, если ваша беспроводная сеть небезопасна, существуют значительные риски. Например, хакер может:

• Перехватить любые данные, которые вы отправляете или получаете
• Получить доступ к вашим общим файлам
• Взломать ваше интернет-соединение — и использовать вашу полосу пропускания или ограничение загрузки

Советы по интернет-безопасности — в помощь вы защищаете свою беспроводную сеть

Вот несколько простых шагов, которые вы можете предпринять для защиты беспроводной сети и маршрутизатора:

• Избегайте использования пароля по умолчанию
  Хакеру легко узнать пароль производителя по умолчанию для вашего беспроводного маршрутизатора — а затем используйте этот пароль для доступа к беспроводной сети.Поэтому разумно изменить пароль администратора для вашего беспроводного маршрутизатора. Когда вы выбираете новый пароль, попробуйте выбрать сложную последовательность цифр и букв — и постарайтесь не использовать пароль, который можно легко угадать.
• Не позволяйте вашему беспроводному устройству объявлять о своем присутствии
  Отключите широковещательную передачу SSID (идентификатор набора услуг) — чтобы ваше беспроводное устройство не сообщало о своем присутствии всему миру.
• Измените имя SSID вашего устройства
  Опять же, хакеру легко узнать имя SSID производителя по умолчанию для вашего устройства, а затем использовать его для определения местоположения вашей беспроводной сети.Измените имя SSID по умолчанию для вашего устройства — и постарайтесь избегать использования имени, которое можно легко угадать.
• Шифрование данных
  Убедитесь, что в настройках подключения включено шифрование. Если ваше устройство поддерживает шифрование WPA, используйте это — если нет, используйте шифрование WEP.
• Защита от вредоносных программ и интернет-атак
  Убедитесь, что вы установили надежный продукт для защиты от вредоносных программ на всех своих компьютерах и других устройствах. Чтобы поддерживать защиту от вредоносных программ в актуальном состоянии, выберите в продукте опцию автоматического обновления.

Другие статьи и ссылки, связанные с безопасностью и защитой

Защита беспроводных сетей

Kaspersky

Использование беспроводной сети в вашем доме дает вам возможность использовать свой компьютер практически в любом месте вашего дома — и при этом иметь возможность подключаться к другим компьютерам в вашей сети или к Интернету. Однако, если ваша беспроводная сеть небезопасна, существуют значительные риски.

Как защитить домашнюю беспроводную сеть от хакеров

Вероятно, у вас дома есть Wi-Fi-роутер, чтобы обеспечить доступ в Интернет для всей семьи.Когда люди заходят к ним, они спрашивают пароль, чтобы проверить что-то на своем смартфоне или показать фотографии из отпуска, хранящиеся в облаке. Вскоре многие люди знают ваш пароль Wi-Fi, и люди могут подключаться к вашему маршрутизатору в любое время, когда проходят мимо вашего дома. В многоквартирном доме сигнал вашего маршрутизатора распространяется на соседние квартиры.

В отличие от физических сетей, системы Wi-Fi могут выходить за пределы стен вашего дома. Как только пароль для доступа становится известен миру, становится очень сложно контролировать, кто может получить доступ к вашей домашней сети.Таким образом, вам необходимо подумать о внесении некоторых изменений и процедур, которые защитят вас от злоумышленников, шпионов и интернет-злоумышленников.

У вас есть две серьезные проблемы с безопасностью. Во-первых, вам нужно контролировать, кто действительно может попасть в вашу сеть. Вторая проблема — это след сигнала. Если люди за пределами вашего дома могут уловить сигнал от вашего маршрутизатора, они также могут захватить данные и получить все ваши пароли.

Вот несколько простых, но важных задач по повышению безопасности вашей сети.

1. Составьте сложный пароль маршрутизатора

Все беспокоятся о том, что они не смогут запомнить пароль, поэтому просто настройте их как строку цифр, например, 11111111. Однако сложные пароли, которые невозможно запомнить, хороши для безопасности системы.

Вам нужно будет сообщить пароль Wi-Fi другим членам вашей семьи, а также близким друзьям и родственникам, которые регулярно навещают вас. Однако вы не можете контролировать, кому они могут дать этот пароль.Хотя есть способы найти пароль, который уже был установлен в операционной системе любого компьютера, не многие люди знают об этой утилите. Создание сложного пароля усложняет общение, и его также невозможно угадать.

Сделайте жизнь немного сложнее для тех, кто пытается угадать ваш пароль WiFi, используя строку случайных символов. Пароль Wi-Fi должен состоять из 12 или 20 чартов, и вы можете создать его для себя с помощью генератора паролей Comparitech.

См. Также: Как составлять и запоминать надежные пароли

Ограничить доступ паролем

Хотя кажется разумным предоставить доступ к Wi-Fi вашим детям, их друзьям и вашим друзьям, вы не должны чувствовать себя обязанным сообщать пароль всем, кто входит в ваш дом. Например, заезжий продавец — совершенно незнакомый человек, и независимо от того, насколько хорошо он одет, вы не знаете, каковы его планы, и вы не можете им доверять.Кто-то, кто находится на вашей территории для выполнения каких-либо услуг, например сантехник, садовник или декоратор, не имеет права запрашивать пароль к вашему Wi-Fi. В таких случаях вы должны быть готовы сказать «нет».

Коммерческим посетителям не нужен доступ к вашему Wi-Fi роутеру, чтобы получать информацию из Интернета для работы. Их работодатели должны предоставить им тарифный план или USB-модем, если их бизнес-модель предусматривает хранение данных в облаке.

Часто меняйте пароль

Не существует жесткого правила о том, как часто следует менять пароль маршрутизатора.Однако вам следует регулярно менять его. Запоминание нового пароля электронной почты или онлайн-банкинга может раздражать, потому что вам нужно постоянно входить в систему. Но поскольку маршрутизаторам Wi-Fi обычно требуется только один раз войти в систему, чтобы получить неограниченный доступ, изменение пароля Wi-Fi менее неприятно.

Сделайте изменение пароля маршрутизатора частью своей ежемесячной рутины. Первого числа месяца, после завтрака, смените пароль Wi-Fi. Если у вас много людей в доме и вне его — например, во время ремонта — меняйте пароль еженедельно.Не забудьте обновить сохраненную вами заметку о пароле.

Многие современные WiFi-маршрутизаторы также включают возможность настройки «гостевой сети» с собственным SSID и паролем. Это означает, что гости могут подключаться к Интернету со своих устройств, и вам не нужно сообщать свой основной пароль.

См. Также: Инструмент для создания паролей

2. Измените учетные данные администратора маршрутизатора

Вы можете получить доступ к консоли вашего маршрутизатора с любого устройства, подключенного к сети.Большинство производителей настраивают учетную запись администратора на маршрутизаторах с одинаковыми именем пользователя и паролем для каждой единицы оборудования, которое они продают. Это отличается от простого подключения к сети; он предоставляет вам контроль над конфигурацией сети. Имея немного ноу-хау, любой, кто подключен к маршрутизатору, может угадать или погуглить его учетные данные для входа. Это делает вас уязвимыми для хакеров или молодых преуспевающих людей.

Если кто-то попадает в консоль администратора, он может изменить пароль администратора и заблокировать вас.Итак, измените эти учетные данные до того, как это сделает какой-нибудь умный друг вашей дочери. Без доступа к учетной записи администратора на вашем маршрутизаторе вы не сможете выполнять какие-либо задачи по повышению безопасности Wi-Fi.

Имя пользователя и пароль по умолчанию могут быть напечатаны в буклете, который прилагается к маршрутизатору, или вы можете найти их на страницах поддержки на веб-сайте производителя Wi-Fi. Он может даже отображаться на экране входа в систему для маршрутизатора. Если вы нигде не можете найти имя пользователя и пароль, попробуйте sys / admin, system / admin, admin / admin, user / user, system / password и admin / password для комбинации имени пользователя и пароля.Если ничего из этого не работает, найдите свой маршрутизатор в этом списке паролей администратора маршрутизатора по умолчанию.

Когда вы найдете правильную комбинацию, вам нужно поискать в системе меню сведения об учетной записи. Измените пароль учетной записи администратора на случайную последовательность букв и цифр и сделайте его длиной не менее 12 символов. Не забудьте записать новый пароль в безопасном месте, прежде чем выходить из консоли. Поскольку доступ к большинству консолей маршрутизатора осуществляется через веб-браузер, менеджер паролей может позаботиться об этом за вас.

3. Измените имя сети

Как объяснялось в предыдущем разделе, производители маршрутизаторов устанавливают одинаковые настройки для каждого элемента производимой ими линейки продуктов. Часто производитель устанавливает одно и то же программное обеспечение для администрирования на все модели своих маршрутизаторов. Такая последовательность облегчает жизнь хакерам.

Бесплатное программное обеспечение для обнаружения сети позволяет хакерам видеть все окружающие сети Wi-Fi. Хакеру не нужно знать, из какого дома идет сигнал, потому что ему не нужно взламывать ваш дом, чтобы проникнуть в вашу сеть.Каждая сеть идентифицируется именем, называемым SSID.

Производители маршрутизаторов часто указывают название бренда или модели маршрутизатора в SSID. Если у вас есть маршрутизатор от вашего интернет-провайдера, интернет-провайдер может изменить этот SSID, чтобы отображать собственное имя вместо имени производителя. Если вы купили маршрутизатор самостоятельно, его SSID, вероятно, будет определять производителя или даже модель маршрутизатора.

Хакер может использовать информацию, которая появляется в SSID, для поиска имени пользователя и пароля по умолчанию для маршрутизатора без особых усилий.Измените SSID, чтобы в нем не указывалась марка или модель маршрутизатора. Не выбирайте идентификатор, который включает ваше имя, адрес или номер телефона. Не используйте в имени другую личную информацию. Итак, «10BullLane», «JBDecker Network» и «Homenet-12281975» — плохие идеи. Избегайте политических заявлений, не используйте ненормативную лексику и не провоцируйте хакеров на проблемы с вашим SSID. Просто сделайте это мягким.

Связано: 10 лучших средств обнаружения вторжений

Скрыть сеть

Вашему маршрутизатору не нужно транслировать свой SSID.Если вы заблокируете отправку идентификатора маршрутизатору, домашний Wi-Fi станет скрытой сетью. Те устройства, на которых уже сохранены данные о подключении, по-прежнему смогут подключиться, но прохожие этого не увидят. Во многих случаях список сетей, который видят другие, будет включать строку с надписью «Скрытая сеть». Не зная названия сети, к ней невозможно подключиться.

Если вы купите новый гаджет, то возникнет проблема, когда неизвестные устройства не смогут подключиться к сети.Однако вы можете временно включить широковещательную рассылку SSID, чтобы ваше новое устройство могло видеть сеть. После того, как вы установили соединение с паролем, снова сделайте сеть скрытой. Скрытие сети упрощает блокировку доступа посетителей в сеть. Если они не видят ваш маршрутизатор в списке доступных сетей, они с меньшей вероятностью будут запрашивать пароль.

4. Усиление шифрования Wi-Fi

Ряд свободно доступных хакерских инструментов может взломать слабое шифрование Wi-Fi, что может позволить злоумышленнику перехватить, увидеть и изменить вашу онлайн-активность.Для защиты передачи обычно используются три типа систем защиты Wi-Fi, поэтому только устройство конечного пользователя и маршрутизатор Wi-Fi могут читать содержимое передачи. Это защита, эквивалентная проводному соединению (WEP), защищенный доступ Wi-Fi (WPA) и защищенный доступ Wi-Fi 2 (WPA 2). Из этих трех вам следует использовать WPA2. Фактически, вам нужна усиленная версия этой системы, которая называется WPA2 AES. Здесь используется шифр AES для защиты передачи, и метод шифрования невозможно взломать.

Вы можете изменить шифрование Wi-Fi в консоли роутера. Параметр шифрования AES часто появляется во втором списке выбора. Поэтому, выбрав WPA2 в первом поле, вы можете выбрать AES во втором поле.

5. Отключите Plug ‘n Play

Методология Universal Plug ‘n Play помогает устройствам в вашем доме обнаруживать сеть, а затем связываться с производителем для получения обновлений прошивки и расходных материалов. UPnP — ключевой элемент в создании Интернета вещей.Это технология, которая делает бытовую технику «умной». По сути, умные гаджеты могут получить доступ к Интернету. UPnP также предоставляет канал для хакеров.

Ваш маршрутизатор должен взаимодействовать с системой UPnP, чтобы эти домашние гаджеты получили доступ к Интернету. Хотя создание самонастраивающихся устройств поначалу казалось привлекательным, отсутствие защиты паролем для большинства устройств или стремление производителей использовать один и тот же пароль для всех устройств делают эти интеллектуальные устройства уязвимыми для системы безопасности.

UPnP помогает устройству настроить, но как только он заработает, отключите его возможности UPnP. Вы также должны отключить совместимость UPnP в своем маршрутизаторе. UPnP позволяет хакерам заражать домашние устройства и включать их в ботнеты. Ботнет — это армия устройств, которые можно направить для одновременной отправки запросов на доступ к одному компьютеру, тем самым блокируя его доступность. Это называется DDoS-атакой, и она все чаще используется такими странами, как Россия и Китай, в качестве военной стратегии, поэтому UPnP даже подрывает национальную оборону.

6. Отключите удаленное управление

Консоль маршрутизатора должна быть доступна только для устройств, подключенных к сети. Однако стандартная настройка маршрутизатора обеспечивает удаленный доступ. Это означает, что вы можете получить доступ к консоли через Интернет из другого места. К сожалению, если вы можете это сделать, то сможет и любой другой. Итак, отключите удаленный доступ.

7. Предел WPS

Wif-Fi Protected Setup (WPS) предлагает простой способ заставить новые устройства распознавать сеть и подключаться к маршрутизатору.WPS использует один из двух методов.

Если у вашего маршрутизатора есть кнопка WPS на задней панели, нажатие на нее отправит сигнал, который добавляет устройство в сеть и передает ему учетные данные для входа, поэтому вам не нужно вводить текстовый пароль.

Альтернативный метод использует восьмизначный цифровой код, введенный в сетевые настройки устройства. WPS позволяет устройствам в вашем доме, например телевизионным приставкам и игровым консолям, поддерживать присутствие в сети даже при изменении пароля, необходимого для подключения компьютеров и телефонов.

WPS представляет собой слабое место в системе безопасности, поскольку кодовый метод легко взломать. Если на вашем маршрутизаторе есть кнопка WPS, отключите возможности кода WPS и положитесь на кнопку. Если у вас нет кнопки, полностью отключите WPS, потому что использование кода является серьезной проблемой для безопасности вашей сети.

8. Регулярно обновляйте прошивку роутера

Производитель маршрутизатора должен автоматически обновить прошивку на вашем шлюзе. Однако точно так же, как вы должны составлять ежемесячный график изменения пароля Wi-Fi, вы также должны регулярно проверять наличие обновлений.Консоль маршрутизатора должна включать эту опцию. Если нет, возьмите за привычку в первое число месяца проверять веб-сайт производителя маршрутизатора на наличие обновлений и устанавливать их, если они доступны.

Еще одним поводом для обновления прошивки должны стать новости, в которых рассказывается о серьезных вирусных атаках. Обычно новые вирусы распространяются из-за того, что хакер обнаруживает слабое место в системе безопасности, называемое «эксплойтом». Иногда хакеры обнаруживают эти слабые места раньше технологических компаний. Вспышка серьезной атаки спровоцирует производителя маршрутизатора проверить код его прошивки, чтобы убедиться, что его оборудование не уязвимо для новой атаки.Если это так, они выпустят исправление безопасности. Так что проверяйте веб-сайт производителя вашего маршрутизатора всякий раз, когда появляются эти новости.

9. Включите межсетевой экран

Скорее всего, на вашем Wi-Fi-роутере есть брандмауэр, но вы его не включили. Просмотрите настройки консоли, чтобы узнать, сможете ли вы его найти. В противном случае посетите страницы поддержки клиентов на веб-сайте производителя маршрутизатора. Если есть база знаний, вы можете выполнить поиск на сайте по ключевому слову «брандмауэр» и посмотреть, какая информация появится.

Маршрутизаторы

Wifi работают с системой, называемой NAT, что означает «преобразование сетевых адресов». Эта манипуляция с адресами означает, что каждому компьютеру в вашей сети назначается адрес, известный только маршрутизатору. Он не представляет вас в Интернете. Вместо этого у маршрутизатора есть свой собственный интернет-адрес, который обменивается данными с внешним миром. Очень удачным побочным эффектом системы NAT является то, что она не позволяет посторонним идентифицировать адреса отдельных устройств в сети.Незапрошенный трафик блокируется до того, как он достигнет устройств конечных пользователей.

Помимо этой защиты, маршрутизаторы обычно имеют аппаратный межсетевой экран. Это работает немного иначе, чем программное обеспечение, которое вы, вероятно, установили на свой компьютер. Стоит включить.

См. Также: Что такое межсетевой экран и зачем он нужен в домашней сети?

10. Назначьте статические адреса

Этот шаг носит немного технический характер и может показаться вам немного неудобным в реализации.Как объяснялось выше, все устройства в вашей беспроводной сети имеют адрес. Это называется IP-адресом, и он должен быть уникальным. IP-адрес вашего компьютера уникален только в вашей частной сети. Вот почему маршрутизатор также использует публичный адрес, который представляет вас в Интернете.

Маршрутизатор назначает IP-адрес каждому устройству в сети через систему, которая называется «протокол динамической конфигурации хоста» или DHCP. Хакеры могут манипулировать DHCP, чтобы выделить себе сетевой адрес, что затрудняет их обнаружение.

Одна из настроек в консоли вашего маршрутизатора позволит вам изменить способ распределения адресов в вашей сети. Чтобы остановить маршрутизатор, использующий DHCP, вам нужно посмотреть страницу конфигурации сети консоли. Вариант, который вы ищете, вероятно, будет раскрывающимся списком с пометкой «Тип подключения WAN» или «конфигурация адреса». Точные настройки зависят от вашей модели роутера. Однако вы увидите, что в настоящее время в этом поле установлено значение DHCP. Вам нужно изменить это на Статический IP.

Прежде чем вносить это изменение, перейдите ко всем компьютерам и сетевым устройствам в вашем доме и запишите IP-адрес, который каждый из них использует в настоящее время. После изменения маршрутизатора на использование статических IP-адресов вернитесь к каждому устройству и назначьте ему адрес, который вы записали для него. Эффективность изменения распределения адресов является предметом обсуждения.

См. Также: Полное руководство по DHCP

11. Фильтрация MAC-адресов

Консоль вашего маршрутизатора будет содержать пункт меню под названием «Фильтрация MAC-адресов» или «Фильтрация MAC-адресов».”Эта опция позволит подключаться к вашей сети только одобренным устройствам. Каждое устройство, которое может подключиться к сети, имеет MAC-адрес. На самом деле это идентификатор сетевой карты, он уникален во всем мире. Таким образом, в мире не существует двух устройств с одинаковым MAC-адресом. MAC означает «контроллер доступа к среде». Он состоит из шести двузначных шестнадцатеричных чисел, разделенных двоеточиями. Это выглядит как 00: 17: 5f: 9a: 28.

Вы можете прочитать, что фильтрация MAC-адресов — пустая трата времени, потому что ее можно обойти.Это верно до определенного момента. Если вы просто хотите запретить соседям бесплатно подключаться к вашей сети и не можете заставить своих детей молчать о пароле, то фильтрация MAC-адресов предоставит вам необходимую функциональность. Если вы подозреваете, что один из ваших соседей является хакером, то этот прием не окажет большого сопротивления.

На мобильных устройствах найдите MAC-адрес в настройках сети. На компьютерах откройте окно командной строки и введите ipconfig / all. Откроется список атрибутов компьютера, включая MAC-адрес.Составьте список MAC-адресов всех устройств в вашем доме, которые вы хотите подключить к сети.

Когда вы переходите к настройке списка фильтрации, обратите внимание на инструкции на странице, потому что не все системы фильтрации MAC точно одинаковы — структура зависит от вашего маршрутизатора.

Есть два режима фильтра MAC-адресов. Это «разрешить» и «запретить» или они могут быть помечены как «включить» и «исключить». Если вы не видите эти параметры, значит, MAC-фильтр вашего маршрутизатора относится к категории разрешить / включить.Если эти параметры доступны, выберите разрешить / включить. На экране должно появиться поле, в котором вы вводите список адресов. Обычно для разделения записей достаточно возврата каретки, но может потребоваться поставить запятую или точку с запятой после каждого адреса.

Фильтрация MAC-адресов может быть отключена хакером, у которого есть анализатор пакетов беспроводной сети. Каждая часть информации, которая поступает на устройство или выходит из него, имеет свой MAC-адрес. Хотя MAC-адреса назначаются мировым сетевым картам и управляются централизованно, поэтому каждый из них уникален в мире, хакеры знают, как изменить адрес.Следовательно, хакеру просто нужно выбрать один из MAC-адресов, который он видит активным в сети, а затем изменить MAC-адрес своего компьютера на этот. Однако такие инструменты недоступны на мобильных устройствах, поэтому хакеру придется сидеть с ноутбуком в пределах досягаемости вашего маршрутизатора, чтобы уловить сигнал.

12. Выключаем роутер

Если вы не используете Wi-Fi, вы можете выключить маршрутизатор. Иногда вы можете захотеть оставить большую загрузку на ночь.Однако в большинстве случаев вы не собираетесь использовать сеть, пока спите. Рекомендуется выключать всю электронику на ночь и даже отключать ее от сети. Это мера безопасности от искр, вызывающих возгорание оборудования, а также хорошая практика для защиты окружающей среды. Многие электрические и электронные устройства сжигают электричество даже в режиме ожидания. Так что отключение всего от сети перед сном уменьшит ваши счета за электроэнергию, а также поможет спасти планету за счет снижения нагрузки на электростанции.

Вы также можете выключить роутер, когда идете на работу. Если в вашем доме много людей, последний человек, вышедший из дома утром, выключает роутер, а тот, кто пришел домой вечером, включает роутер.

Причина этого совета должна быть очевидна. Чем меньше часов работает ваша система Wi-Fi, тем меньше вероятность хакерской атаки. Это также будет блокировать доступ ваших соседей к вашему Wi-Fi на большие промежутки времени.Если ваше интернет-обслуживание ограничено, этот шаг снизит ваш ежемесячный счет.

13. Проверьте порт 32764

Еще в начале 2014 года было обнаружено, что прошивка для некоторых моделей маршрутизаторов поддерживает процесс, который прослушивал порт 32764. «Открытый» порт является уязвимостью системы безопасности, и когда сообщество информационной безопасности обнаружило проблему, маршрутизаторы компании вовлеченный удалил подпрограмму, которая прослушивала ответы на этом порту. Однако в апреле того же года обновление прошивки ввело процедуру повторного открытия порта.

Порт — это число, представляющее адрес приложения. Чтобы порт был открыт, ему нужен процесс, который его слушает. Если хакеры узнают о неясных программах прослушивания, которые могут манипулировать программой, чтобы нанести ущерб маршрутизатору или сети.

Похоже, что доступ через порт 32764 является требованием поставщика оборудования, называемого SerComm. Вы, вероятно, не купили маршрутизатор SerComm, но этот производитель поставляет его для Cisco, Netgear, Linksys и Diamond.Здесь вы можете найти список маршрутизаторов, которым грозит опасность. Хорошая новость заключается в том, что процесс, который прослушивает порт, может быть активирован только из сети. Проверьте, открыт ли порт 32764 на этом сайте. Если он открыт, вам необходимо обратиться к поставщику маршрутизатора за помощью в этом вопросе. Простое закрытие порта не является жизнеспособным решением, потому что он был открыт по команде без вашего ведома, и они могут просто открыть его снова. Если компания-производитель маршрутизатора не может предоставить вам патч, устраняющий эту уязвимость, попросите вернуть деньги.

14. Поддерживайте работоспособность своих устройств

Компьютеры и другие устройства в вашем доме могут предоставить хакерам возможность проникнуть в ваш маршрутизатор. Некоторые из устройств, которые подключаются к вашей сети, будут портативными. Такие устройства, как ноутбуки, планшеты и смартфоны, с большей вероятностью могут заразиться, потому что они, вероятно, подключаются к другим сетям и выходят в Интернет в общественных местах. Есть больше возможностей для заражения вирусом и проникновения вне дома. Оборудование, которое никогда не выходит из дома, подвергается воздействию только одной точки доступа в Интернет, поэтому вероятность заражения снижается.

Вы также должны быть осторожны с людьми, которые переносят файлы на ваши компьютеры с USB-накопителей. Копирование файлов предлагает метод доступа к вирусам. Поэтому убедитесь, что на ваших компьютерах установлены брандмауэры и антивирусное программное обеспечение.

Убедитесь, что ваше программное обеспечение постоянно обновляется, и вы разрешаете автоматические обновления. Патчи и новые выпуски для операционных систем и приложений часто выпускаются для устранения слабых мест в системе безопасности.

См. Также : Лучшие бесплатные антивирусные программы для Windows и Mac

15.Используйте VPN

Виртуальные частные сети в основном используются для повышения конфиденциальности в Интернете. Однако они также предлагают преимущества безопасности, которые помогают защитить ваш маршрутизатор от вторжения. Если вы или другие члены вашей семьи часто используете точки доступа Wi-Fi в общественных местах, например в кафе, использование VPN поможет защитить ваши устройства от атак со стороны взломанных точек доступа Wi-Fi. Хакеры используют атаки «человек посередине» для кражи данных у других пользователей, подключенных к той же сети, и их также можно использовать для проникновения вредоносных программ на ваши устройства.Когда вы приносите эти устройства домой и подключаете их к своей сети, ваш маршрутизатор становится легкой мишенью.

VPN также является хорошим решением проблем, связанных с анализаторами беспроводных пакетов. VPN шифрует весь трафик с вашего компьютера на удаленный сервер, который находится через Интернет за пределами вашего Wi-Fi-роутера. Это означает, что посредники не смогут обмануть вас, установив поддельное соединение, и не смогут попасть в ваш поток данных, проникнув в ваш маршрутизатор. Защита, предлагаемая VPN, проходит через маршрутизатор, поэтому даже если шифрование, обеспечиваемое маршрутизатором, отключено, у вас все еще есть шифрование VPN, чтобы ваши данные не читались.

Большинство людей держат свой Wi-Fi роутер в гостиной, потому что именно там подключается кабель или телефонная линия. Гостиные часто выходят на улицу, поэтому размещение маршрутизатора у окна передней комнаты отправляет половину вашего сигнала во внешний мир.

Если вы установите маршрутизатор Wi-Fi у дальней стены гостиной за телевизором, планировка вашего дома или квартиры может означать, что другая сторона этой стены находится внутри дома соседа. Стены более устойчивы к радиоволнам, чем окна.Однако вы по-прежнему предоставляете своим соседям половину покрытия Wi-Fi.

Найдите центральную точку вашего дома и поместите туда маршрутизатор. Имейте в виду, что зона сигнала Wi-Fi-роутера похожа на шар — он излучается сверху и снизу, а также по горизонтали. Итак, если у вас двухэтажный дом, поместите маршрутизатор прямо под потолком на нижнем уровне, чтобы наверху также можно было обслуживать.

Если ваш дом больше зоны покрытия сигнала маршрутизатора, центрирование маршрутизатора в центре дома обеспечит максимальное покрытие и предотвратит выход сигнала наружу.

Если ваш дом меньше зоны покрытия сигнала, у вас есть несколько различных вариантов уменьшения мощности сигнала за пределами вашего дома. Вы можете использовать маршрутизатор с частотой 5 ГГц вместо маршрутизатора с частотой 2,4 ГГц, потому что он имеет меньший диапазон и не может проникать через стены. Вы также можете попробовать уменьшить радиус действия маршрутизатора, обернув антенны фольгой или даже поместив ее в картонную коробку. Если вы действительно преданы делу, вы можете даже покрасить стены анти-Wi-Fi краской, чтобы сигнал не выходил наружу.

17. Создайте клетку Фарадея

Некоторые дома плохо обслуживаются сотовой связью. Во многих случаях, даже если вы находитесь в городской зоне, где полосы должны быть полностью заполнены, доступность сигнала падает, как только вы заходите в помещение. Это ненормально. Это явление вызвано материалом, из которого изготовлен ваш дом. Любой металл в строительном материале будет притягивать радиосигналы и препятствовать их проникновению через кожу дома в ваши комнаты. Это называется клеткой Фарадея, и, хотя она раздражает из-за плохого обслуживания сотовой связи в помещении, она отлично подходит для улавливания вашего сигнала Wi-Fi внутри вашего дома.

Строительные материалы, которые блокируют прохождение сигнала Wi-Fi снаружи, включают изоляцию из фольгированной мембраны, заделанную за гипсокартоном в стенах. Если внутренние стены вашего дома имеют такую ​​изоляцию, у вас будут проблемы с передачей сигнала Wi-Fi из комнаты, где находится маршрутизатор. Металлические оконные рамы уменьшают количество сигнала, проходящего через стекла ваших окон, а железобетонные стены с металлическими решетками также предотвращают распространение Wi-Fi на улицу.

Если в вашем доме не так много металла на внешних стенах, вы можете интегрировать металлы в свою отделку, чтобы не допустить выхода Wi-Fi наружу. Идеи включают в себя алюминиевую облицовку, которая может выходить за пределы дома, чтобы защитить стены, придать вашему дому новый вид, а также заблокировать весь Wi-Fi. Другие идеи включают шторы с металлической нитью, медные настенные покрытия, металлические стеллажи и металлические ширмы.

Если металл не подходит для вашего интерьера, обратите внимание на краску, блокирующую сигналы Wi-Fi.Также можно рассмотреть блестящие металлизированные обои, напечатанные на фольге.

18. Отключайте сеть, если уезжаете на длительное время.

Если вы собираетесь в отпуск или в течение нескольких недель ваша домашняя сеть Wi-Fi не понадобится, выключите ее. Хакеры не могут проникнуть в вашу сеть, когда она не подключена. Выключение маршрутизатора не только поможет снизить риски безопасности, но и если вы отключите его от сети, вы также сможете предотвратить его повреждение из-за скачков напряжения.

19.Настроить отдельную сеть для устройств IoT

Устройства Интернета вещей становятся все более распространенными в наших домах. Теперь у нас есть умные телевизоры, умные холодильники, наши собственные виртуальные подчиненные устройства в Alexa и Google Home, а также множество других устройств IoT во многих наших домах. С развитием новых технологий и развертыванием 5G это число будет только увеличиваться. Это касается двояко:

• Чем больше устройств IoT, тем больше конечных точек и тем больше количество потенциальных входов для хакеров.
• IoT-устройства имеют плохую репутацию в сфере безопасности.

Имея это в виду, те, кто особенно заботится о безопасности, могут подумать о настройке отдельной сети Wi-Fi для своих устройств IoT. Хотя технически это может не быть частью защиты вашей домашней сети, установка второй позволяет вам разделить цифровые активы вашего дома.

Таким образом, вы можете разместить все ценное в одной сети, например, ваши компьютеры, телефоны и любые важные данные. В другой сети вы можете разместить все менее безопасные устройства Интернета вещей, а также все, что не так важно.Вы даже можете использовать эту вторую сеть для гостей, не позволяя им вносить угрозы в вашу основную сеть.

Имея две отдельные сети, вы можете исключить риски того, что плохо защищенные устройства IoT будут открывать вашу основную сеть. Если хакеры все же проникнут в вашу сеть IoT, все, что они найдут, — это другие устройства IoT, и они не смогут проникнуть на ваши компьютеры или телефоны, а также не смогут украсть или организовать атаки программ-вымогателей на ваши важные устройства. данные.

Сейф Wi-Fi

Заголовки новостей о программах-вымогателях и краже личных данных вызывают беспокойство.Мысль о том, что кто-то может вторгнуться в ваш Wi-Fi, немного напоминает угрозу нападения или ограбления в вашем собственном доме. Вам не нужно быть техническим экспертом, чтобы повысить безопасность вашей домашней сети Wi-Fi, вам просто нужно быть немного умнее в своих привычках.

Обычно лучше всего подходят простые решения проблем безопасности. Как видите, ни одно из решений в нашем списке не стоит денег. Большинство этих предложений — это разумные шаги, которые может предпринять каждый. Даже более сложные идеи, такие как скрытие сети или фильтрация MAC-адресов, требуют всего лишь изучения опций, доступных вам в консоли Wi-Fi роутера.

Убедитесь, что вы храните свои личные данные в безопасности от похитителей личных данных и не допускаете, чтобы скупые соседи украли ваш Интернет, следуя рекомендациям в этом руководстве.

У вас есть идеи по поводу повышения безопасности Wi-Fi? Если вы можете придумать несколько хороших идей, которые мы упустили из виду, оставьте сообщение в разделе комментариев ниже и поделитесь своими знаниями с сообществом.

См. Также:

Изображение: соединение с приключениями через Pixabay, под лицензией CC0

Не становитесь легкой добычей для хакеров

Хотя Wi-Fi предлагает удобство беспрепятственного подключения для передачи данных, он имеет недостатки безопасности, которые хакеры любят использовать.Не зная, какие уловки используют хакеры для нацеливания на устройства Wi-Fi, пользователям трудно понять, какие привычки могут подвергать их наибольшему риску.

Для взлома

Wi-Fi часто используются небольшие ошибки, которые пользователи совершают при подключении устройств к сети или настройке маршрутизатора. Чтобы избежать наихудшей из этих ошибок, есть несколько простых мер предосторожности, которые вы можете предпринять, чтобы уменьшить поверхность атаки и не дать вам стать жертвой некоторых из наиболее распространенных атак Wi-Fi.

Получите бесплатное тестирование на проникновение в средах Active Directory EBook

«Это действительно открыло мне глаза на безопасность AD, чего никогда не делала защитная работа.”

Риски Wi-Fi

Когда среднестатистический человек думает о взломе Wi-Fi, он, вероятно, представляет, что хакер взламывает их локальную сеть Wi-Fi. Хотя это действительно происходит, Wi-Fi также может использоваться для отслеживания пользователей с их устройств, взлома паролей с помощью фишинговых атак и раскрытия информации о том, где человек работает или путешествует.

Хакеры, нацеленные на Wi-Fi, могут решить, атаковать ли саму сеть или преследовать любые подключенные устройства.Это дает хакерам гибкость в выборе самого слабого звена, полагаясь на цель, совершающую критические ошибки, и нацеливаясь на любую уязвимость, которую легко использовать.

Wi-Fi — это поверхность атаки, которая также может преследовать вас. Мобильные устройства Wi-Fi можно легко отслеживать между местоположениями, утекая имена сетей, которые могут раскрыть информацию о владельце. Для тех, кто не хочет, чтобы их устройство транслировало информацию о том, где они работают или в последнее время были, это может быть проблемой как для конфиденциальности, так и для безопасности.

Чтобы снизить эти риски, мы можем заблокировать поведение, которое приводит к утечке личной информации и / или делает наши устройства более уязвимыми. Выполнив следующие шаги, вы можете уменьшить поверхность атаки и обезопасить себя при использовании Wi-Fi дома или в дороге.

1) Удалите ненужные сети из списка предпочитаемых сетей

Список предпочтительных сетей или PNL — это список имен сетей Wi-Fi, которым ваше устройство автоматически доверяет. Этот список создается на основе сетей, к которым вы подключаетесь с течением времени, но он не может различить сети с одинаковым именем и типом безопасности.Это означает, что после однократного подключения к сети Starbucks Wi-Fi ваше устройство запомнит и автоматически подключится к любой открытой сети с тем же именем.

Для хакера создание мошеннических точек доступа, имитирующих имена обычных открытых точек доступа Wi-Fi, является самым простым способом отслеживания ближайших устройств и проведения MITM-атак. Если вы оставите свой смартфон Wi-Fi включенным в общественных местах, ваше устройство не будет предупреждать вас при автоматическом подключении к открытой сети с именем, совпадающим с именем, к которому вы присоединились ранее.Без других мер предосторожности это может позволить хакеру загружать фишинговые страницы, отслеживать, какие сайты вы посещаете, и узнавать, какие приложения вы используете.

В Windows вы можете удалить предпочитаемые сети, перейдя в «Управление известными сетями» и нажав «Забыть» в любых сетях, к которым ваш компьютер не должен подключаться автоматически. Как минимум, вы должны удалить все открытые сети Wi-Fi из этого списка. Риск того, что ваше устройство автоматически подключится к мошеннической точке доступа, выдавшей себя за открытый Wi-Fi, намного выше, чем при обнаружении вредоносной сети с тем же именем и паролем, что и в вашей PNL.

В описанной выше атаке я использовал микроконтроллер esp8266 за 3 доллара, чтобы создать до тысячи фальшивых сетей. Многие находящиеся поблизости смартфоны пытались подключиться к сетям с именами, к которым они подключались ранее, и выяснилось, что они доверяют им. Обнаружив, какие сетевые имена отображаются в PNL нескольких соседних устройств, хакер может перехватить соединение для передачи данных многих устройств одновременно с помощью одной мошеннической сети с именем вроде «attwifi». Если у вас есть сети, похожие на те, что указаны в списке выше, сохраненные в PNL вашего устройства, вы должны немедленно удалить их!

2) Используйте VPN для шифрования локального трафика

Один из фундаментальных недостатков WPA2, исправленный в WPA3, — это концепция прямой секретности.Это означает, что в новом стандарте WPA3 за записанным трафиком Wi-Fi нельзя шпионить, даже если злоумышленник узнает пароль Wi-Fi позже. В текущем стандарте WPA2 дело обстоит иначе. За трафиком в локальной сети могут следить как другие пользователи, так и злоумышленник, который записывает трафик и расшифровывает его, узнав пароль позже.

В то время как HTTPS сделал Интернет намного безопаснее и приватнее для пользователей Wi-Fi при ненадежных соединениях, VPN берет на себя слабину, препятствуя отслеживанию трафика.Шифруя DNS-запрос и другую раскрывающую информацию, которая может открыть дверь для фишинг-атаки, VPN усложняет злоумышленнику возможность увидеть, что цель делает в Интернете, или перенаправить пользователей на вредоносный веб-сайт.

Для шифрования вашего локального трафика самые популярные VPN предлагают уровень защиты, чтобы не стать легкой добычей. PIA, Mullvad или NordVPN сделают ваш локальный трафик нечитаемым для хакера и обеспечат прямую секретность, сделав записи вашего Wi-Fi-трафика бесполезными, даже если злоумышленник узнает пароль WI-Fi позже.

В приведенном выше примере я отключил PIA во время мониторинга своего Wi-Fi-соединения с другого компьютера с помощью Wireshark. Сразу после отключения я смог увидеть, что на моем телефоне был запущен мессенджер Signal, он был в сети AT&T и в настоящее время смотрел видео на YouTube только по запросам DNS. Я даже могу идентифицировать проверяющуюся VPN по ее серверу обновлений. Вся эта информация просочилась за несколько секунд перехвата трафика без использования VPN.

Если вы хотите узнать больше об использовании Wireshark для анализа информации через Wi-Fi, вы можете ознакомиться с этой полезной ссылкой: https: // www.varonis.com/blog/how-to-use-wireshark/

3) D возможно автоматическое соединение с при объединении сетей

Одним из недостатков очистки списка предпочитаемых сетей является то, что для любых сетей, к которым вы подключаетесь, потребуется вводить пароль вручную каждый раз, когда вы хотите подключиться. Это может раздражать сети, к которым вы часто подключаетесь, а также требует, чтобы вы очищали PNL после каждого присоединения к новой сети.

Для защищенных паролем сетей Wi-Fi, к которым вы часто подключаетесь, есть решение, позволяющее сохранить пароль и снизить риск автоматического подключения устройства к вредоносным сетям с тем же именем.Для этого обязательно установите флажок «Отключить автоподключение» при первом подключении к сети. Это предотвратит попытки вашего устройства подключиться к сети, которая соответствует имени и типу безопасности той, к которой вы подключаетесь.

Хотя вам все равно придется нажимать на название сети каждый раз, когда вы хотите присоединиться к ней, вам не нужно вводить пароль. Ценой одного клика вы можете избежать утечки названия сетей, к которым вы подключались ранее.

На устройствах MacOS вы можете указать, какие сети подключаются автоматически, с помощью кнопки «Дополнительно» в меню «Сеть».Вы можете просто снять флажки с тех сетей, которые не хотите подключать автоматически.

4) Никогда не использовать скрытые сети

Обычная точка доступа Wi-Fi будет отправлять маяки, содержащие всю информацию, необходимую для обнаружения ближайшими устройствами и подключения к ней, например SSID сети и поддерживаемое шифрование. Скрытые сети, напротив, никогда не отправляют маяки и никоим образом не заявляют о себе, требуя, чтобы клиентское устройство находилось в зоне действия и уже знало о сети для подключения.Это означает, что вы никогда не увидите скрытую сеть, включенную в список ближайших точек доступа, что теоретически усложняет злоумышленнику определение наличия сети.

Некоторые пользователи думают, что безопасность посредством неизвестности — это хороший способ скрыть свою сеть от хакеров Wi-Fi, но ирония заключается в том, что, скрывая свою сеть Wi-Fi, вы упрощаете отслеживание всех своих интеллектуальных устройств. Поскольку скрытая сеть Wi-Fi никогда не будет транслироваться до того, как устройство попытается подключиться к ней, устройство Wi-Fi, настроенное для подключения к скрытой сети, должно будет предполагать, что сеть может быть поблизости в любой момент.

На практике это означает, что ваше устройство будет постоянно вызывать имя скрытой сети, что упрощает отслеживание вашего устройства Wi-Fi, даже если MAC-адрес выбран случайным образом или вы принимаете другие меры предосторожности. оставайся анонимным. Это не только упрощает обман вашего устройства для подключения к точке доступа Rouge, но также позволяет любому отслеживать ваше присутствие по радиосигналам, которые постоянно отправляет ваше интеллектуальное устройство.

На изображении выше я добавил скрытую сеть в список предпочтительных сетей смартфона.В Wireshark мы можем легко отслеживать устройство, которое запрашивает скрытую сеть. Мы не только не скрываем, но и можем идентифицировать не только устройство, но и название самой скрытой сети. Если наша цель состояла в том, чтобы сделать нашу сеть Wi-Fi более скрытой, мы вместо этого заставили наше клиентское устройство постоянно вызывать имя нашей «скрытой» сети для всеобщего обозрения.

В некоторых случаях «скрытая» сеть, которую запрашивает устройство, может даже быть расположена на Wigle.net, если SSID достаточно уникален.Это означает, что вы можете даже давать свой домашний или рабочий адрес любому, кто прослушивает передачи по Wi-Fi. Если ваша цель — сохранить скрытность существования сети, вам следует подумать об использовании только Ethernet, а не о создании скрытой сети Wi-Fi.

5) D доступная функция WPS на маршрутизаторах

С точки зрения злоумышленника, сети с включенным WPS выглядят как больные. С помощью одной команды хакер может сканировать локальную область на предмет сетей, поддерживающих WPS и представляющих собой хорошую цель для такой атаки, как WPS-Pixie.

Выше мы видим локальные сети, в которых включены различные версии WPS, что означает, что их стоит проверить с помощью такого инструмента, как Airgeddon, чтобы увидеть, сможем ли мы добиться быстрой победы. Многие версии WPS уязвимы как для атак методом перебора PIN-кода, так и для атак на основе WPS-Pixie, которые могут позволить злоумышленнику получить доступ к уязвимой сети всего за 15 секунд.

Что пугает в атаках с помощью PIN-кода при настройке WPS, так это то, что влияние успешной атаки выходит за рамки простого изменения пароля.Если злоумышленник сможет получить ваш установочный PIN-код WPS при атаке в стиле Reaver или WPS-Pixie, он сможет получить ваш пароль, независимо от того, насколько длинным, уникальным или безопасным он является. Это связано с тем, что PIN-код настройки WPS был разработан в первую очередь для восстановления утерянных паролей, поэтому, злоупотребляя им, хакер получает тот же доступ, что и владелец устройства.

Чтобы выгнать хакера, у которого есть PIN-код для настройки WPS, вы не можете просто изменить пароль. Вам также необходимо отключить установочный PIN-код WPS и, возможно, купить новый маршрутизатор, если вы когда-нибудь захотите использовать его снова.Многие маршрутизаторы не позволяют изменять PIN-код настройки WPS, поэтому, чтобы ваш длинный и надежный пароль оставался в секрете, обязательно отключите этот параметр в настройках меню маршрутизатора.

Процедура отключения PIN-кода настройки WPS может отличаться, но в целом вам следует войти в свой маршрутизатор Wi-Fi и снять флажок, связанный с «ПИН-кодом WPS» или «Настройка WPS», чтобы убедиться, что этот параметр отключен. В некоторых старых маршрутизаторах отключение этого параметра может фактически не выключить его, поэтому, если вы хотите убедиться в этом сами, вы можете использовать команду «-wash» в Kali Linux для идентификации любых ближайших сетей, рекламирующих WPS.Если ваше устройство по-прежнему сообщает WPS после его отключения, вам следует заменить устройство.

6) Никогда не используйте повторно пароли для Wi-Fi

Один из самых больших недостатков WPA2, текущего стандарта Wi-Fi, заключается в том, что слабый пароль может облегчить злоумышленнику проникновение в сеть. Если пароль к вашей сети Wi-Fi входит в число миллиона или около того худших паролей, вполне вероятно, что хакер сможет взломать вашу сеть за считанные минуты. Это потому, что все, что им нужно сделать, это захватить рукопожатие от устройства, подключенного к Wi-Fi, загрузить его в такой инструмент, как Hashcat, и расслабиться, пока он пробует все предположения в огромном файле взломанных паролей.

Здесь важно думать о паролях как о «надежных» с двух точек зрения. Во-первых, их должно быть трудно угадать, а во-вторых, они должны быть уникальными. Это означает, что использование таких же или очень похожих паролей в других учетных записях может привести к тому, что ваш пароль попадет в список взломанных паролей, что сделает его одним из «плохих» паролей по умолчанию, которые хакер попытается использовать при атаке методом перебора.

Так как же даже длинный и сложный пароль, используемый в нескольких местах, может стать достоянием общественности? Компании постоянно теряют пароли от учетных записей пользователей при взломах, и одна из наиболее распространенных тактик — попытаться использовать эти пароли в других местах, как только они станут доступны.Хакеры WI-Fi знают, что людям нравится копировать свои любимые «надежные» пароли из одной учетной записи в другую, и это упрощает перебор паролей, которые могут быть длинными, но на самом деле не уникальными.

Чтобы узнать, какие из ваших любимых паролей уже известны, вы можете запустить свои учетные записи на сайте haveibeenpwned.com и посмотреть, какие компании могли утекать пароли ваших учетных записей. Никогда не используйте пароль для своего Wi-Fi, который вы используете где-либо в Интернете, и ни в коем случае не используйте пароль, который был раскрыт другой службой.

7) Изолировать клиентов от их собственной подсети

Потенциально серьезная ошибка многих малых предприятий, предлагающих клиентам Wi-Fi, заключается в том, что они не ограничивают гостевых пользователей их собственной подсетью. Если все сделано правильно, изоляция подсети означает, что каждый клиент может взаимодействовать только с маршрутизатором и не может сканировать другие устройства в сети или пытаться подключиться к открытым портам.

В сети с надлежащей изоляцией клиентов сканирование Nmap или ARP ничего не должно выявить или просто маршрутизатор как единственное устройство в сети.Кроме того, у маршрутизатора не должно быть доступных портов, которые являются страницами администрирования хостинга или конфигурации из гостевой сети, так как на этих страницах часто происходит утечка информации, которую хакер может использовать для взлома маршрутизатора.

На рисунке выше мы видим ситуацию для большинства малых предприятий Wi-Fi сетей, которые предлагаются клиентам и не изолируют клиентов должным образом от их собственной подсети. Без изоляции клиента любой в сети может видеть любое другое подключенное устройство и взаимодействовать с ним.Это означает, что камеры видеонаблюдения, системы DVR, сам маршрутизатор и NAS или файловые серверы в сети могут быть напрямую доступны для хакера с момента их присоединения к сети, что значительно упрощает задачу поиска самого слабого звена сети.

На изображении выше бизнес, предоставляющий клиентам Wi-Fi, также предоставил доступ к серверу NAS своей камеры видеонаблюдения, используя учетные данные по умолчанию, для всех в сети, что позволяет хакерам видеть сквозь камеры бизнеса и даже просматривать старые кадры, хранящиеся на сервер.Чаще всего предприятия настраивают эти сети и подключают множество устройств Wi-Fi, забывая изменить пароль по умолчанию для всего, от маршрутизаторов до принтеров.

Если компания забывает изменить пароль по умолчанию для маршрутизатора и не может изолировать клиентов от своей собственной подсети, это лишь вопрос времени, когда хакер вмешается, чтобы администрировать маршрутизатор для них. Когда гость сканирует сеть, он должен видеть только два устройства: шлюз и себя.

С паролями администратора по умолчанию, такими как «admin» или «password», оставленными на маршрутизаторе, хакеры могут загружать вредоносные обновления прошивки, чтобы шпионить за пользователями или запускать украденные кредитные карты через соединение, используя маршрутизатор в качестве своей личной VPN.Первый шаг к предотвращению этого — в первую очередь предотвратить ненужный доступ к устройствам в сети.

Wi-Fi безопаснее с некоторыми основными мерами предосторожности

В общем, вы должны хранить на своих устройствах как можно меньше доверенных сетей Wi-Fi и отключать автоматическое подключение. Если вы работаете на конфиденциальной должности и у вас в офисе есть уникальные имена сетей Wi-Fi, вы можете передавать данные о своей работе заинтересованным сторонам, даже не зная об этом. В случае сомнений просто отключите радиомодуль Wi-Fi, когда вы его не используете, так как это предотвратит большинство атак через Wi-Fi.

Выполнив описанные выше действия, можно легко снизить риск того, что ваше устройство Wi-Fi автоматически подключится к вредоносной сети, будет отслеживаться между местоположениями или утечка личной информации. Хотя эти советы не являются полным руководством по обеспечению безопасности при использовании Wi-Fi, они защитят вас от нескольких самых простых и дешевых атак, которые используют хакеры.

Если вы хотите узнать больше о том, что может произойти, если злоумышленник взломает вашу сеть, вы можете узнать больше в нашей лаборатории атак Office 360.

Как защитить свой Wi-Fi простыми шагами

TechRadar сотрудничает с NCSAM

NCSAM был запущен Национальным альянсом кибербезопасности и Министерством внутренней безопасности США в октябре 2004 года, чтобы обеспечить безопасность и надежность нашей онлайн-жизни — на работе и дома. Вот в чем суть Национального месяца осведомленности о кибербезопасности (NCSAM), который отмечается в октябре!

Большинство домашних хозяйств и компаний идут на все, чтобы не допустить неавторизованных пользователей к своим сетям, но точки доступа и маршрутизаторы Wi-Fi могут предоставить хакерам удобный доступ.

Это потому, что сигналы Wi-Fi часто транслируются за стены зданий и домов и выходят на улицы — заманчивое приглашение для хакеров. Неудивительно, что вардрайтинг или хакерская атака — излюбленное времяпрепровождение среди киберпреступников.

Поскольку многие компании разрешают или даже активно поощряют сотрудников подключаться к сети с помощью собственных мобильных устройств — планшетов и смартфонов, а также ноутбуков — для большинства компаний нецелесообразно отключать доступ к Wi-Fi.

То же самое относится к домашним пользователям широкополосного доступа, к которым могут часто приходить гости. Вместо этого вот несколько советов, как сделать вашу беспроводную сеть более безопасной.

1. Используйте более надежное шифрование

Некоторые точки доступа Wi-Fi по-прежнему предлагают более старый стандарт защиты WEP (Wired Equivalent Privacy), но он принципиально не работает. Это означает, что хакеры могут за считанные минуты взломать сеть, защищенную WEP, с помощью пакета взлома, такого как Aircrack-ng.

Таким образом, чтобы не допустить злоумышленников, важно использовать какой-либо вариант защиты WPA (защищенный доступ Wi-Fi), либо WPA, либо более новый стандарт WPA2 (или WPA3, когда он появляется).

Для небольших компаний и домашних хозяйств может быть целесообразно использовать WPA с предварительным общим ключом. Это означает, что все сотрудники или члены семьи используют один и тот же пароль для подключения, а сетевая безопасность зависит от того, что они не сообщают пароль посторонним.

Это также означает, что пароль следует менять каждый раз, когда сотрудник увольняется из компании.

Некоторые маршрутизаторы Wi-Fi предлагают функцию под названием Wireless Protect Setup (WPS), которая обеспечивает простой способ подключения устройств к беспроводной сети, защищенной WPA.Однако это может быть использовано хакерами для получения вашего пароля WPA, поэтому важно отключить WPS в настройках маршрутизатора.

В более крупных организациях имеет смысл использовать WPA в корпоративном режиме, который позволяет каждому пользователю иметь собственное имя пользователя и пароль для подключения к сети Wi-Fi.

Это значительно упрощает управление, когда сотрудники регулярно уходят, поскольку вы можете просто отключить учетные записи бывших сотрудников; но чтобы использовать WPA в корпоративном режиме, вам необходимо запустить сервер (известный как сервер RADIUS), на котором хранится информация для входа в систему для каждого сотрудника.

• Ознакомьтесь с нашим списком лучших поставщиков VPN на рынке.

2. Используйте безопасный пароль WPA

Убедитесь, что любой пароль (или кодовая фраза), защищающий вашу сеть Wi-Fi, длинный и случайный, чтобы его не мог взломать решительный хакер.

Слишком легко настроить любое оборудование с его настройками по умолчанию, тем более что имя администратора и пароль по умолчанию часто печатаются на самом маршрутизаторе, чтобы обеспечить быстрый доступ и настройку. Это означает, что хакеры попытаются получить доступ к вашей сети.Изменение имени доступа и пароля усложнит доступ преступнику.

Вы можете проверить безопасность своей защищенной WPA сети (не раскрывая свой пароль или кодовую фразу) с помощью службы CloudCracker. Вам будет предложено предоставить некоторые данные (те же данные, которые хакер может захватить или «вынюхать» из воздуха с помощью портативного компьютера из любого места в пределах вашей сети), и служба попытается извлечь ваш пароль.

Если служба не работает, то хакер тоже вряд ли добьется успеха.Но если сервис находит ваш пароль, вы знаете, что вам нужно выбрать более длинный и безопасный.

Имейте в виду, что даже стандарт безопасности WPA2 вряд ли устоит перед хорошо организованной и упорной группой хакеров или хакеров из-за уязвимости Wi-Fi KRACK, обнаруженной в октябре 2017 года.

3. Проверьте наличие несанкционированных точек доступа Wi-Fi

Несанкционированные точки доступа представляют огромную угрозу безопасности. Это не «официальные» точки доступа Wi-Fi вашей компании, а те, которые были введены сотрудниками (возможно, потому, что они не могут получить хороший сигнал Wi-Fi в своем офисе) или, возможно, хакерами, которые проникли в ваш офис. построил и тайно подключил один к точке Ethernet и спрятал его.

В любом случае несанкционированные точки доступа представляют опасность, потому что вы не можете контролировать их или то, как они настроены: например, одну можно настроить для широковещательной рассылки вашего SSID (32-значного идентификатора для беспроводной сети) и разрешить кому угодно подключиться без ввода пароля.

Для обнаружения несанкционированных точек доступа вам необходимо регулярно сканировать ваш офис и территорию вокруг него, используя портативный компьютер или мобильное устройство, оснащенное подходящим программным обеспечением, таким как Vistumbler (сканер беспроводной сети) или airodump-ng.Эти программы позволяют портативному компьютеру «обнюхивать» радиоволны для обнаружения любого беспроводного трафика, идущего к или от несанкционированной точки доступа, и помогают определить, где они находятся.

4. Обеспечьте отдельную сеть для гостей

Если вы хотите разрешить посетителям использовать ваш Wi-Fi, разумно предложить гостевую сеть. Это означает, что они могут подключаться к Интернету, не имея доступа к внутренней сети вашей компании или семьи. Это важно как из соображений безопасности, так и для предотвращения случайного заражения вашей сети вирусами или другими вредоносными программами.

Один из способов сделать это — использовать отдельное подключение к Интернету с собственной точкой беспроводного доступа. На самом деле это редко бывает необходимо, поскольку большинство беспроводных маршрутизаторов бизнес-класса (и многие новые потребительские) имеют возможность запускать две сети Wi-Fi одновременно — вашу основную сеть и еще одну для гостей (часто с SSID «Гость»). )

Имеет смысл включить защиту WPA в гостевой сети, а не оставлять ее открытой по двум важным причинам. Первый — обеспечить некоторый уровень контроля над тем, кто его использует: вы можете предоставить пароль гостям по запросу, и, если вы часто меняете его, вы можете предотвратить слишком большое количество людей, знающих пароль.

Но что еще более важно, это защищает ваших гостей от других людей в гостевой сети, которые могут попытаться отслеживать их трафик. Это потому, что даже если они используют один и тот же пароль WPA для доступа к сети, данные каждого пользователя зашифрованы с помощью другого «сеансового ключа», который защищает их от других гостей.

5. Скрыть имя вашей сети

Точки доступа Wi-Fi обычно по умолчанию настроены на широковещательную рассылку имени вашей беспроводной сети, известного как идентификатор набора услуг или SSID, чтобы упростить поиск и подключение.Но SSID можно также установить на «скрытый», чтобы вам нужно было знать имя сети, прежде чем вы сможете подключиться к ней.

Учитывая, что сотрудники должны знать название сети Wi-Fi вашей компании (и то же самое касается членов семьи и друзей в домашнем хозяйстве), нет смысла транслировать его, чтобы любой другой, кто случайно проходит мимо, мог легко тоже найди.

Важно отметить, что сокрытие вашего SSID никогда не должно быть единственной мерой, которую вы предпринимаете для защиты вашей сети Wi-Fi, потому что хакеры, использующие инструменты сканирования Wi-Fi, такие как airodump-ng, все равно могут обнаружить вашу сеть и ее SSID, даже если он установлен на «скрытый.»

Но безопасность — это обеспечение нескольких уровней защиты, и, скрывая свой SSID, вы можете избежать привлечения внимания хакеров, так что это простая мера, которую стоит принять.

6. Используйте брандмауэр

Аппаратное обеспечение брандмауэры обеспечивают первую линию защиты от атак, исходящих извне сети, и в большинство маршрутизаторов встроены брандмауэры, которые проверяют входящие и исходящие данные и блокируют любую подозрительную активность. Устройства обычно имеют разумные настройки по умолчанию, которые гарантируют, что они делать достойную работу.

Большинство брандмауэров используют фильтрацию пакетов, которая проверяет заголовок пакета, чтобы определить его адрес источника и назначения. Эта информация сравнивается с набором предопределенных и / или созданных пользователем правил, которые определяют, является ли пакет легитимным или нет, и, таким образом, следует ли его разрешить или отклонить.

Программные брандмауэры обычно запускаются на настольном компьютере или ноутбуке конечной точки, с тем преимуществом, что они лучше понимают, какой сетевой трафик проходит через устройство.Помимо того, какие порты используются и куда идут данные, он будет знать, какие приложения используются, и может разрешить или заблокировать возможность этой программы отправлять и получать данные.

Если программный брандмауэр не уверен в конкретной программе, он может спросить пользователя, что ему делать, прежде чем блокировать или разрешать трафик.

7. Включите аутентификацию MAC для ваших пользователей

Вы можете еще больше ограничить круг лиц, имеющих доступ к вашей беспроводной сети, разрешив подключаться к ней только определенным устройствам и запретив остальные.Каждое беспроводное устройство будет иметь уникальный серийный номер, известный как MAC-адрес, а аутентификация MAC разрешает доступ к сети только с набора адресов, определенных администратором.

Это предотвращает доступ неавторизованных устройств к сетевым ресурсам и служит дополнительным препятствием для хакеров, которые могут захотеть проникнуть в вашу сеть.

8. Используйте VPN.

VPN или виртуальная частная сеть поможет вам оставаться в безопасности и защищенности в Интернете, а главное — сохранить конфиденциальность ваших личных данных.Они скрывают ваши данные от посторонних глаз с одного конца до другого, шифруя их. Теоретически хакеры могут проникнуть в вашу сеть, и они все равно не смогут причинить вред вашей системе, если VPN работает постоянно.

В ознаменование Месяца осведомленности о национальной кибербезопасности IPVanish предоставляет скидку 69% на двухлетние планы в течение октября 2018 года, что обеспечивает эффективную защиту высшего уровня в 3,74 доллара в месяц.

Как защитить маршрутизатор и домашнюю сеть

Многие пользователи этого не осознают, но их интернет-маршрутизаторы могут быть самыми важными электронными устройствами, которые есть у них дома.Маршрутизаторы связывают большинство других своих устройств вместе и с внешним миром, поэтому они занимают очень привилегированное положение, которое хакеры часто пытаются использовать.

За последние несколько лет количество ботнетов, состоящих из взломанных маршрутизаторов, увеличилось, и эти ботнеты использовались как преступниками, так и изощренными злоумышленниками, спонсируемыми государством, для проведения атак на предприятия и организации.

К сожалению, многие потребительские маршрутизаторы и маршрутизаторы для малого бизнеса поставляются с небезопасными конфигурациями по умолчанию, имеют недокументированные учетные записи бэкдора, предоставляют устаревшие сервисы и имеют встроенное ПО, пронизанное основными недостатками.Пользователи не могут исправить некоторые из этих проблем, но они могут предпринять действия, чтобы, по крайней мере, защитить эти устройства от крупномасштабных автоматических атак.

Не позволяйте вашему маршрутизатору быть низко висящим плодом для хакеров.

Избегайте использования маршрутизаторов, поставляемых интернет-провайдерами.

Эти маршрутизаторы обычно менее безопасны, чем те, которые производители продают потребителям. У них часто есть жестко запрограммированные учетные данные или протоколы удаленной поддержки — TR-069, — которые пользователи не могут изменить или отключить. Патчи для своих пользовательских версий прошивки отстают от патчей, выпущенных производителями маршрутизаторов для их розничных моделей.

Если вы вынуждены использовать модем, предоставленный вашим интернет-провайдером, для включения таких сервисов, как VoIP, лучше всего настроить его в режиме моста и установить за ним собственный маршрутизатор, чтобы вы могли лучше контролировать свою сеть и то, как ваши устройства подключаются к Интернет.

Изменить пароль администратора по умолчанию

Многие маршрутизаторы поставляются с паролями администратора по умолчанию, и злоумышленники постоянно пытаются взломать устройства, используя эти общедоступные учетные данные. После первого подключения к интерфейсу управления маршрутизатора через браузер (адрес должен быть IP-адресом маршрутизатора по умолчанию, который указан на его нижней наклейке или указан в руководстве по настройке), убедитесь, что первое, что вы сделаете, это измените пароль. .

Интерфейс управления маршрутизатора не должен быть доступен из Интернета.

Для большинства пользователей управление маршрутизатором извне LAN (локальной сети) не требуется. Если необходимо удаленное управление, рассмотрите возможность использования решения VPN (виртуальной частной сети), чтобы сначала установить безопасный туннель в локальную сеть, а затем получить доступ к интерфейсу маршрутизатора изнутри.

Внутри локальной сети также хорошо ограничить, какие IP-адреса (интернет-протокол) могут управлять маршрутизатором.Если этот параметр доступен, разрешите доступ с одного IP-адреса, который не является частью пула IP-адресов, назначенных компьютерам через DHCP (протокол динамической конфигурации хоста). Например, настройте DHCP-сервер маршрутизатора для автоматического назначения IP-адресов от 192.168.0.1 до 192.168.0.50 клиентам, а затем настройте веб-интерфейс, чтобы разрешить доступ только с 192.168.0.53. Ваш компьютер можно вручную настроить на использование этого адреса, когда вам нужно выполнять административные задачи на маршрутизаторе.

Включите HTTPS-доступ к интерфейсу маршрутизатора, если он доступен.

Всегда выходите из системы, когда ваша задача управления завершена. Используйте браузер в режиме инкогнито или в приватном режиме при работе с маршрутизатором, чтобы никакие сеансовые файлы cookie не оставались позади и никогда не позволяли браузеру сохранять имя пользователя и пароль маршрутизатора.

Измените IP-адрес LAN по умолчанию маршрутизатора, если возможно

Маршрутизаторам, скорее всего, будет назначен первый адрес в предварительно определенном сетевом блоке, например 192.168.0.10,1. Если предлагается вариант, измените его на 192.168.0.99 или на другое, которое легко запомнить и которое не является частью пула DHCP. Весь сетевой блок, используемый маршрутизатором, также можно изменить на нестандартный — например, 192.168.10.x вместо 192.168.0.x. Это защищает от атак с подделкой межсайтовых запросов (CSRF), которые захватывают браузеры пользователей при посещении вредоносных веб-сайтов и пытаются получить доступ к маршрутизаторам через них, используя IP-адреса по умолчанию, обычно назначаемые таким устройствам.

Используйте поставщика услуг DNS, ориентированного на безопасность.

По умолчанию ваш маршрутизатор будет настроен на пересылку запросов системы доменных имен (DNS) вашему интернет-провайдеру, что означает, что вы должны доверять своему интернет-провайдеру для поддержки безопасной службы поиска DNS. Поскольку DNS действует как телефонная книга в Интернете, обнаруживая IP-адреса веб-сайтов, которые вы хотите посетить, хакеры обычно нацелены на него, чтобы направлять пользователей на вредоносные веб-сайты таким способом, который обычно трудно обнаружить. Такие компании, как Google, Cloudflare, OpenDNS (Cisco) и другие, предлагают общедоступные преобразователи DNS, ориентированные на безопасность и даже имеющие зашифрованные версии.

Выберите сложный пароль Wi-Fi и надежный протокол безопасности.

WPA2 (Wi-Fi Protected Access II) и более новый WPA3 должны быть вариантами выбора, поскольку старые версии WPA и WEP подвержены атакам методом грубой силы . Если маршрутизатор предлагает такую ​​возможность, создайте гостевую беспроводную сеть, также защищенную WPA2 или WPA3 и надежным паролем. Используйте эту изолированную гостевую сеть для посетителей и друзей вместо своей основной. Эти пользователи могут не иметь злонамеренных намерений, но их устройства могут быть скомпрометированы или заражены вредоносным ПО еще до того, как они посетят вашу сеть.

Отключить WPS (защищенная настройка Wi-Fi)

Это редко используемая функция, призванная помочь пользователям более легко настраивать сети Wi-Fi, обычно с помощью PIN-кода, напечатанного на наклейке. Много лет назад во многих реализациях WPS была обнаружена серьезная уязвимость, которая позволяет хакерам взламывать сети. Поскольку трудно определить, какие конкретные модели маршрутизаторов и версии прошивки уязвимы, лучше просто отключить эту функцию, если это возможно. Вместо этого вы можете подключиться к веб-интерфейсу управления маршрутизатора, чтобы настроить Wi-Fi с WPA2 и пользовательским паролем — WPS не требуется.

Ограничьте количество сервисов, которые ваш маршрутизатор использует в Интернете.

Это особенно актуально, если вы сами не включили эти сервисы и не знаете, что они делают. Такие службы, как Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell) и HNAP (протокол администрирования домашней сети) не должны быть доступны из Интернета, поскольку они могут представлять серьезную угрозу безопасности. Их также следует отключить в локальной сети, если они не нужны. Онлайн-сервисы, такие как Shields UP от Gibson Research Corporation (GRC), могут сканировать общедоступный IP-адрес вашего маршрутизатора на предмет открытых портов.Shields Up также может сканировать UPnP отдельно. Бесплатные инструменты, такие как Nmap, можно использовать для сканирования интерфейса LAN маршрутизатора.

Регулярно обновляйте микропрограмму маршрутизатора.

Некоторые маршрутизаторы позволяют проверять наличие обновлений микропрограмм через интерфейс управления, а некоторые даже предлагают автоматические обновления. Однако иногда эти проверки могут быть нарушены из-за изменений, внесенных с течением времени на серверы производителя. Рекомендуется регулярно проверять веб-сайт поддержки поставщика на наличие обновлений для вашей модели маршрутизатора.Эти обновления необходимо загрузить вручную, а затем прошить через веб-интерфейс управления маршрутизатора.

Более сложная защита маршрутизатора

Использование сегментации сети для изоляции опасных устройств

Некоторые маршрутизаторы предлагают возможность настройки VLAN (виртуальных локальных сетей), и вы можете использовать их для отделения устройств Интернета вещей (IoT) от ваши компьютеры, мобильные телефоны и другие конфиденциальные машины. За прошедшие годы исследователи показали, что, стремясь первыми выйти на рынок, производители Интернета вещей не разрабатывают устройства с учетом требований безопасности, и это приводит к серьезным уязвимостям, которые хакеры могут использовать для взлома сетей и нацеливания на другие ИТ-активы.Устройства IoT также часто поставляются с незащищенными административными протоколами, доступными для локальных сетей, что делает их уязвимыми для атак со стороны зараженных вредоносным ПО компьютеров в той же сети.

Использование VLAN помогает смягчить оба сценария и не ограничивает функциональность, поскольку большинство устройств IoT управляются через приложения для смартфонов, подключенные к облачным сервисам. Если у них есть доступ в Интернет, большинству этих устройств не требуется связываться с мобильными телефонами или компьютерами напрямую через локальную сеть после первоначальной настройки.

Используйте фильтрацию MAC-адресов, чтобы не допустить попадания несанкционированных устройств в вашу сеть Wi-Fi.

Многие маршрутизаторы позволяют пользователям ограничивать, какие устройства разрешены в их сетях Wi-Fi, на основе MAC-адреса — уникального идентификатора их физической сетевой карты. Включение этой функции может предотвратить подключение злоумышленников к сети Wi-Fi, даже если они знают ее пароль. Обратной стороной является то, что занесение легальных устройств в белый список вручную может быстро стать административной нагрузкой в ​​более крупных сетях.

Объединить переадресацию портов с фильтрацией IP

Службы, работающие на компьютере за маршрутизатором, не могут быть доступны из Интернета, если на маршрутизаторе не определены правила переадресации портов.Многие программы пытаются автоматически открыть порты маршрутизатора через UPnP, что не всегда безопасно. Если UPnP отключен, правила можно добавить вручную, а некоторые маршрутизаторы предлагают возможность указать исходный IP-адрес или сетевой блок, который может подключаться к определенному порту для доступа к определенной службе внутри сети. Например, если вы хотите получить доступ к FTP-серверу на домашнем компьютере с работы, вы можете создать правило переадресации портов для порта 21 (FTP) в вашем маршрутизаторе, но разрешать соединения только из сетевого блока IP вашей компании.

Специальная прошивка может быть более безопасной, чем заводская.

Несколько проектов прошивки, поддерживаемых сообществом, предлагают широкий спектр домашних маршрутизаторов. OpenWRT, DD-WRT и Asuswrt-Merlin (только для маршрутизаторов Asus) являются одними из самых популярных. Эти операционные системы на базе Linux обычно предлагают более продвинутые функции и настройки, чем заводская прошивка, и их специалисты по обслуживанию быстрее исправляют недостатки при обнаружении, чем поставщики маршрутизаторов.

Поскольку эти пакеты микропрограмм предназначены для энтузиастов, количество устройств, которые их используют, намного меньше, чем тех, на которых установлено микропрограммное обеспечение поставщика.Это снижает вероятность широко распространенных и автоматизированных атак на кастомные прошивки, но это не следует рассматривать как гарантию безопасности. Также важно помнить, что загрузка — прошивка — кастомная прошивка на маршрутизаторах требует изрядных технических знаний, вероятно, приведет к аннулированию гарантии и, в случае неправильного выполнения, может сделать устройства непригодными для использования.

Продлите срок службы маршрутизатора

В отличие от смартфонов, маршрутизаторы — это не то, что люди меняют каждые два года.Однако производители маршрутизаторов не всегда четко представляют ожидаемый срок службы своих продуктов или частоту обновлений прошивки, и пользователи могут легко попасть в ловушку, купив модель, которая уже давно присутствует на рынке и вот-вот выйдет из продажи.