Как защитить подключение к интернету через роутер

Мы неоднократно писали про опасности, подстерегающие пользователей открытых беспроводных сетей, но сегодня хотелось бы поговорить об угрозах, специфичных для домашних сетей Wi-Fi. Многие владельцы беспроводных роутеров не считают эти угрозы серьезными, но мы попробуем развеять это заблуждение. Руководство ни в коем случае не является исчерпывающим, однако выполнение нескольких простых шагов позволит вам существенно повысить уровень безопасности сети.

Совет 1. Меняем пароль администратора

Одна из самых распространенных ошибок — использование установленного производителем по умолчанию пароля администратора (чаще всего это что-нибудь вроде «admin:admin» и тому подобные «1234»). В сочетании с какой-нибудь некритичной удаленной уязвимостью или с открытым для всех подключением к беспроводной сети это может дать злоумышленникам полный контроль над роутером. Мы настоятельно рекомендуем установить безопасный пароль, если вы этого еще не сделали.

В качестве иллюстраций мы приводим скриншоты настройки роутера TP-Link. Разумеется, в маршрутизаторах других производителей меню выглядит иначе, но общая логика должна быть схожей.

Совет 2. Запрещаем удаленное управление

Вторая проблема — открытый доступ к интерфейсу управления роутером. Обычно производители по умолчанию разрешают администрировать устройство только из локальной сети, но так бывает далеко не всегда. Обязательно проверьте, доступен ли веб-интерфейс из Интернета.

Как правило, для отключения удаленного администрирования нужно убрать соответствующую галочку (в нашем случае с роутером TP-Link — ввести адрес 0.0.0.0). Также имеет смысл заблокировать доступ к роутеру из Глобальной сети по Telnet или SSH, если он поддерживает данные протоколы. Опытные пользователи могут ограничить возможности управления и в локальной сети — по аппаратным адресам устройств (так называемым MAC-адресам).

Совет 3. Отключаем Broadcast SSID

Как правило, беспроводной роутер сообщает всем желающим идентификатор вашей сети Wi-Fi (SSID). При желании такое поведение можно изменить, убрав соответствующую галочку в настройках. В этом случае злоумышленникам будет сложнее взломать сеть, но при настройке беспроводного подключения вам придется на каждом устройстве вводить ее имя вручную. Этот шаг необязателен.

Совет 4. Используем надежное шифрование

Нужно ли пускать всех желающих в беспроводную сеть при наличии дома безлимитного доступа в Интернет? Мы категорически не рекомендуем этого делать — среди «добропорядочных любителей халявы» может найтись один юный хакер, и здесь возникают угрозы, характерные для публичных хотспотов: кража данных учетных записей почтовых сервисов и социальных сетей, кража данных банковских карт, заражение домашних машин вирусами и так далее.

Кроме того, вашу сеть злоумышленники смогут использовать для совершения мошеннических действий (полиция при этом придет к вам). Так что лучше всего включить шифрование WPA2 (алгоритм WEP недостаточно надежен) и установить безопасный пароль для подключения к Wi-Fi.

Совет 5. UPnP и все-все-все

Современные беспроводные маршрутизаторы умеют не только раздавать Wi-Fi и обеспечивать узлам локальной сети доступ в Интернет — как правило, они поддерживают разнообразные протоколы, позволяющие автоматически настраивать и соединять между собой подключенные «умные устройства».

Universal Plug and Play (UPnP), поддержку стандартов DLNA (Digital Living Network Alliance) и тому подобные вещи лучше отключать, если вы ими не пользуетесь, — так меньше шансов стать жертвой очередной уязвимости, найденной в ПО, использующем данные функции. Вообще это универсальное правило: все лишнее стоит отключить. Если что-то из отключенного вам потребуется, просто включите обратно, это несложно.

Совет 6. Обновляем встроенное ПО

Очень часто владельцы роутеров не следят за выходом свежих прошивок для своих устройств. Мы рекомендуем устанавливать актуальные версии встроенного ПО, скачанные с официальных сайтов производителей, — они исправляют ошибки и закрывают разнообразные уязвимости, позволяющие злоумышленникам взломать вашу сеть.

Инструкции по обновлению ПО обычно есть на соответствующей вкладке веб-интерфейса роутера. Вам нужно будет скачать образ прошивки, сделать резервную копию конфигурации (иногда старый файл нельзя использовать с новой прошивкой, и тогда придется настроить роутер заново), запустить процесс обновления и восстановить конфигурацию после перезагрузки.

Обновление прошивки роутера — самый простой и одновременно самый необходимый шаг

Tweet

Можно использовать сделанные энтузиастами сторонние прошивки для вашего устройства (например, OpenWRT), но делать это следует с осторожностью — нет гарантии, что роутер нормально запустится после обновления. Кроме того, написанное сторонними разработчиками ПО также следует скачивать только с официальных сайтов известных проектов — ни в коем случае не доверяйте продуктам из непонятных источников.

Совет 7. Не только роутер

Абсолютно надежной защиты не бывает — этот тезис доказан многолетней практикой. Грамотная настройка роутера, использование надежных паролей и алгоритмов шифрования, а также своевременное обновление встроенного ПО существенно повышают уровень безопасности беспроводной сети, но не дают стопроцентной гарантии от взлома.

Совет недели: безопасно подключаемся к Wi-Fi https://t.co/4Q2MP1dzKN pic.twitter.com/EXEYhNK4qm

— Евгений Касперский (@e_kaspersky_ru) September 4, 2014

Защититься можно лишь комплексно, поэтому мы рекомендуем использовать на компьютерах и мобильных устройствах современные брандмауэры и антивирусные программы с актуальными базами сигнатур зловредов. К примеру, Kaspersky Internet Security 2015 позволяет проверить уровень безопасности беспроводной сети и дает рекомендации по изменению ее настроек.

Полная анонимность: защищаем домашний роутер

Всем салют, дорогие друзья!

Сегодня мы расскажем о том, как из обычного роутера сделать роутер, который будет обеспечивать все ваши подключенные устройства анонимным интернет-соединением.
Погнали!

Как заходить в сеть через DNS, как настроить постоянно зашифрованное соединение с интернетом, как защитить домашний роутер – и еще несколько полезных советов вы найдете в нашей статье.

Для предотвращения отслеживания вашей личности по конфигурации маршрутизатора необходимо отключить по максимуму веб-сервисы вашего устройства и изменить стандартный идентификатор SSID. Как это сделать, мы покажем на примере Zyxel. С другими роутерами принцип действия аналогичен.

Откройте в браузере страницу конфигурации вашего маршрутизатора. Пользователям роутеров Zyxel для этого нужно ввести «my.keenetic.net» в адресную строку.

Теперь следует включить отображение дополнительных функций. Для этого нажмите на три точки в правом верхнем углу веб-интерфейса и щелкните по переключателю для опции «Advanced View».

Зайдите в меню «Wireless | Radio Network» и в разделе «Radio Network» введите новое название вашей сети. Наряду с именем для частоты 2,4 ГГц не забудьте изменить и название для частоты 5 ГГц. В качестве SSID укажите любую последовательность символов.

Затем перейдите в меню «Internet | Permit Access». Снимите флажок перед опциями «Internet access via HTTPS enabled» и «Internet access to your storage media via FTP/FTPS enabled». Подтвердите произведенные изменения.

Построение DNS-защиты

В первую очередь измените SSID своего роутера
(1). Затем в настройках DNS укажите сервер Quad9
(2). Теперь все подключенные клиенты в безопасности

На вашем маршрутизаторе также должен использоваться альтернативный DNS-сервер, например Quad9. Преимущество: если этот сервис настроен непосредственно на роутере, все подключенные к нему клиенты автоматически будут заходить в Интернет через данный сервер. Мы поясним конфигурацию опять-таки на примере Zyxel.

Описанным в предыдущем разделе образом разделе «Изменение имени роутера и идентификатора SSID» образом зайдите на страницу конфигурации Zyxel и перейдите в раздел «Сеть Wi-Fi» на вкладку «Точка доступа». Здесь поставьте галочку в чекпойнте «Скрыть SSID».

Перейдите на вкладку «Серверы DNS» и задействуйте опцию «Адрес сервера DNS». В строке параметра введите IP-адрес «9.9.9.9».

Настройка постоянного перенаправления через VPN

Еще больше анонимности вы добьетесь с помощью постоянного соединения по VPN. В этом случае вам не придется больше беспокоиться об организации такого подключения на каждом отдельном устройстве — каждый клиент, соединенный с роутером, автоматически будет заходить в Сеть через защищенное VPN-подключение. Однако для этой цели вам понадобится альтернативная прошивка DD-WRT, которую необходимо установить на роутер вместо прошивки от производителя. Это ПО совместимо с большинством роутеров.

Например, на маршрутизаторе премиум-класса Netgear Nighthawk X10 имеется поддержка DD-WRT. Впрочем, вы можете использовать в качестве точки доступа к Wi-Fi и недорогой роутер, например TP-Link TL-WR940N. После выбора маршрутизатора следует решить, какую VPN-службу вы предпочтете. В нашем случае мы остановились на бесплатной версии ProtonVPN.

Установка альтернативной прошивки

После установки DD-WRT измените DNS-сервер устройства прежде чем настраивать подключение по VPN.

Мы поясним установку на примере роутера Netgear, однако для других моделей процесс аналогичен. Скачайте прошивку DD-WRT и установите ее с помощью функции обновления. После перезагрузки вы окажетесь в интерфейсе DD-WRT. Вы можете перевести программу на русский язык, выбрав в меню «Administration | Management | Language» вариант «Russian».

Перейдите к пункту «Setup | Basic setup» и для параметра «Static DNS 1» пропишите значение «9.9.9.9».

Также поставьте флажки перед следующими опциями «Use DNSMasq for DHCP», «Use DNSMasq for DNS» и «DHCP-Authoritative». Сохраните изменения щелчком по кнопке «Save».

В разделе «Setup | IPV6» отключите «IPV6 Support». Тем самым вы предотвратите деанонимизацию через утечки IPV6.

Совместимые устройства можно найти в любой ценовой категории, например TP-Link TL-WR940N (около 1300 руб.)
или Netgear R9000 (около 28 000 руб.)

Конфигурация виртуальной частной сети (VPN)

Запустите OpenVPN Client (1) в DD-WRT. После ввода данных доступа в меню «Status» можно проверить, построен ли туннель для защиты данных (2)

Собственно для настройки VPN вам необходимо изменить параметры ProtonVPN. Конфигурация нетривиальна, поэтому строго следуйте указаниям. После того как вы зарегистрируетесь на сайте ProtonVPN, в настройках аккаунта скачайте файл Ovpn с узлами, которые вы хотите использовать. Этот файл содержит всю необходимую информацию для доступа. В случае с другими поставщиками услуг вы найдете эти сведения в другом месте, однако чаще всего в своем аккаунте.

Откройте файл Ovpn в текстовом редакторе. Затем на странице конфигурации роутера нажмите на «Services | VPN» и на этой вкладке переключателем активируйте опцию «OpenVPN Client». Для доступных опций внесите информацию из файла Ovpn. Для бесплатного сервера в Голландии, к примеру, используйте в строчке «Server IP/Name» значение «nlfree-02.protonvpn.com», а в качестве порта укажите «1194».

«Tunnel Device» установите на «TUN», а «Encryption Cipher» – на «AES-256 CBC».
Для «Hash Algorithm» задайте «SHA512», включите «User Pass Authentication» и в полях «User» и «Password» укажите свои данные для входа в Proton.

Теперь пришло время заняться разделом «Advanced Options». «TLS Cypher» переведите в положение «None», «LZO Compression» — на «Yes». Активируйте «NAT» и «Firewall Protection» и в качестве «Tunnel MTU settings» укажите число «1500». «TCP-MSS» необходимо выключить.
В поле «TLS Auth Key» скопируйте значения из файла Ovpn, которые вы найдете под строчкой «BEGIN OpenVPN Static key V1».

В поле «Additional Configuration» введите строчки, которые вы найдете под «Server Name».
В завершение для «CA Cert» вставьте текст, который вы видите в строчке «BEGIN Certificate». Сохраните настройки нажатием на кнопку «Save» и запустите установку нажатием на «Apply Settings». После перезагрузки ваш роутер будет связан с VPN. Для надежности проверьте соединение через «Status | OpenVPN».

Советы для вашего роутера

С помощью пары несложных приемов вы сможете превратить свой домашний маршрутизатор в безопасный узел. Прежде чем приступать к настройке, следует изменить стандартную конфигурацию устройства.

Изменение SSID Не оставляйте название роутера по умолчанию. По нему злоумышленники могут сделать выводы о вашем устройстве и провести целенаправленную атаку на соответствующие уязвимости.

DNS-защита Установите DNS-сервер Quad9 в качестве стандартного на странице конфигурации. После этого все подключенные клиенты будут заходить в Сеть через безопасный DNS. Это также избавляет вас от ручной настройки устройств.

Использование VPN Через альтернативную прошивку DD-WRT, доступную для большинства моделей маршрутизаторов, вы сможете построить VPN-соединение для всех клиентов, связанных с этим устройством. Необходимость конфигурировать клиенты по отдельности отпадает. Вся информация поступает в Сеть в зашифрованном виде. Веб-службы больше не смогут вычислить ваши реальные IP-адрес и местоположение.

При выполнении всех рекомендаций, изложенных в этой статье, даже специалисты в области защиты данных не смогут придраться к вашим конфигурациям, поскольку вы добьетесь максимальной анонимности(на сколько это возможно).

Спасибо за прочтение моей статьи, больше мануалов, статей про кибербезопасность, теневой интернет и многое другое вы сможете найти на нашем [Telegram канале](https://t.me/dark3idercartel).

Всем спасибо кто прочитал мою статью и ознакомился с ней.Надеюсь вам понравилось и вы отпишите в комментариях, что думаете по этому поводу?

В наше время точки доступа Wi-Fi появились практически везде: в каждой квартире, в общественном транспорте, кафе или заведении другого рода — есть Wi-Fi маршрутизатор. Многие мобильные устройства тоже могут выступать в роли точки доступа к сети.

Чтобы примерно представить масштаб распространения Wi-Fi сетей в крупных городах, достаточно просто достать смартфон в любом общественном месте или собственной квартире и активировать функцию поиска сетевых подключений. Вероятно, в зоне действия окажется не менее трех-четырех точек доступа, мобильных устройств и других устройств, оборудованных модулем беспроводной связи.

Что говорить, стремительно набирает популярность даже «умная» бытовая техника, которой можно управлять удаленно (технологии «умного дома»).

Зачем и от кого защищать свой роутер

Не стоит удивляться тому, что в результате повсеместного распространения таких сетей, уровень сознательности владельцев сетевого оборудования значительно упала.

Пользователи старшего возраста нередко просят младших родственников убрать пароль для подключения к роутеру, а кто-то оставляет заводской пароль, не задумываясь о возможных последствиях. Даже если вы очень хороший человек и не прочь поделиться частью интернет-канала с экономными соседями, не забывайте, кроме бесплатного интернета, любой человек, получивший доступ к вашему сетевому оборудованию, если захочет, может получить и гораздо больше, чем бесплатный доступ в интернет. Злоумышленники могут получить доступ к вашим деньгам, личным фотографиям, информации о вашем времяпрепровождении, а возможно и вскипятить чайник без вашего ведома!

Всего этого можно избежать, всего лишь позаботившись о своем роутере, путем совершения нескольких достаточно простых действий.

Шаг первый: смена заводского пароля

На всех маршрутизаторах по умолчанию установлен заводской пароль. Как правило, он не отвечает даже минимальным требованиям безопасности — может состоять из простейшей цифровой комбинации или быть одинаковым для всех роутеров одной модели.

Это значит, что подобрать его сможет не только хакер, но даже человек не слишком близкий к миру цифровых технологий.

Первым шагом после установки нового (особенно предоставленного провайдером) роутера должна быть замена заводского пароля. Самым устойчивым ко взлому паролем будет сложный порядок прописных и строчных букв, цифр и спецсимволов. При этом желательно, чтобы такой набор не образовывал каких-либо слов и словосочетаний.

Пример хорошего пароля: s9oLBqL9i*Gx

Для генерирования хорошего пароля вы можете воспользоваться одним из множества онлайн-генераторов:

• LastPass;
• Генератор паролей;
• Randstuff.ru.

Если вы все-таки решили придумать пароль сами — запомните несколько простых правил:

• не используйте в качестве пароля простейшие цифровые комбинации (000000, 111111 и т.д.);
• ваша фамилия и домашний номер — тоже плохая идея;
• не рекомендуется использовать и любые словосочетания.

Шаг второй: использование гостевого доступа для выхода в интернет 

Гостевой Wi-Fi — это обособленная точка доступа, которая не затрагивает домашние устройства, подключенные к основной точке и объединенные в сеть.

Подключившись к гостевой точке доступа, злоумышленник не сможет получить доступ к вашим домашним устройствам и информации хранящейся в их памяти.

Гостевое сетевое подключение обеспечивает пользователя только доступом во внешний интернет, оставляя другие домашние устройства вне зоны досягаемости. 

Если гостевая сеть не нужна, то ее необходимо отключить. У некоторых устройств она отключается автоматически, если не используется определенное время.

Шаг третий: шифрование сети

Для защиты от вторжений извне каждый современный маршрутизатор по умолчанию шифрует канал доступа в собственную сеть. Существует несколько протоколов шифрования:

• OPEN. По сути, в таком протоколе полностью отсутствует шифрование. Передача данных в этой сети проходит по открытому каналу.
• WEP. На сегодняшний день самый слабый тип шифрования, появившийся в 90-х годах 20 века. Имеет массу уязвимостей, взламывается за несколько секунд.
• WPS(или QSS). Механический вход в сеть (вход осуществляется с помощью нажатия кнопки). Ненадежен, взламывается в течение суток.
• WPA/WPA2. Самый надежный протокол. Основан на различных алгоритмах шифрования. До недавнего времени был практически неуязвим. Недавно хакеры нашли лазейки для его взлома, однако ваши соседи все еще имеют очень мало шансов пробиться сквозь такое шифрование.

Если среди ваших соседей не затесался Mr.Robot, то протокол WPA/WPA2 в комбинации со сложным паролем станет серьезной проблемой для любителей халявного интернета. 

Прежде чем использовать маршрутизатор убедитесь, что шифрование включено. Проверить это можно в WEB-интерфейсе роутера (через браузер).

Получить доступ к настройкам устройства можно введя в строке браузера url или ip-адрес, указанный на корпусе роутера (обычно на нижней его части).

При выборе способа шифрования ориентируйтесь на протокол WPA2 — он более надежен по сравнению с остальными.

Шаг четвертый: изменение сетевого идентификатора

Service Set Identifier (SSID) — это имя вашей беспроводной сети, которое ей присвоил завод-изготовитель маршрутизатора. Оно видно всем, кто обладает устройством с возможностью беспроводного подключения. По стандартному SSID любой человек может идентифицировать тип вашего роутера, что значительно облегчит его взлом (особенно если вы затянули со сменой стандартного пароля).

Вы можете также скрыть отображение SSID в настройках роутера, однако в этом случае гаджеты перестанут видеть его в списке доступных подключений и имя сети придется вводить каждый раз при переподключении к интернету. Это усложнит работу, поэтому проще всего изменить идентификатор. В этом случае сложность не требуется — можете задать любое имя на свой вкус. Для этого необходимо зайти в меню, найти соответствующий раздел и изменить его.

Шаг пятый: права доступа к настройкам маршрутизатора

Доступ к настройкам в большинстве устройств, осуществляется через браузер по протоколу http. Настройки, как правило, не защищены паролем, либо установлен простейший пароль, который может повторяться в рамках одной линейки или даже быть одинаковым для устройств от разных производителей (самые распространенные — admin, 000000 или другая простейшая комбинация цифр).

Поэтому доступ к настройкам устройства есть у любой учетной записи, рангом выше «продвинутого пользователя». Для защиты необходимо установить пароль или поменять установленный по умолчанию в меню маршрутизатора.

Шаг шестой: обновление ПО

Необходимо систематически обновлять программное обеспечение роутера. Пакеты обновлений исправляют баги и уязвимости в прошивке устройства. Некоторые новейшие маршрутизаторы поддерживают функцию автоматического обновления прошивки. Если такая функция есть, то делать ничего не нужно. Вы также можете самостоятельно проверять наличие нового программного обеспечения в меню настроек и загружать их вручную.

Если ваше устройство не имеет функции автоматического или полуавтоматического обновления, вы должны загрузить соответствующий файл с официального сайта компании-производителя.