Советы по защите маршрутизатора от хакеров

Опубликовано: 19 Марта, 2023

Введение

Хакеры атакуют не только крупные корпорации. Они также используют маршрутизаторы на малых предприятиях и даже в домашних хозяйствах. Они могут, например, взламывать маршрутизаторы, чтобы удаленно открыть доступ к сети через Интернет, или проводить локальные атаки, чтобы получить доступ через Wi-Fi.

Здесь я расскажу о нескольких уязвимостях безопасности в потребительских маршрутизаторах и маршрутизаторах малого бизнес-класса и покажу, как предотвратить их угрозу для вашей сети, что обычно требует простого изменения настроек. Я расскажу о некоторых недавно обнаруженных уязвимостях в дополнение к некоторым слабостям, которые существуют уже много лет.

Отключить UPnP

Многие маршрутизаторы и другие устройства, подключенные к сети, поддерживают протокол UPnP (Universal Plug and Play). Этот стандарт позволяет сетевым устройствам автоматически обнаруживать друг друга и устанавливать соединения для легкого доступа к устройствам, обмена или потоковой передачи мультимедиа и других услуг.

Были известны уязвимости с UPnP в локальной сети, но в начале 2013 года было публично обнаружено, что некоторые уязвимости можно эксплуатировать с помощью удаленных атак через Интернет на определенные устройства. Это позволяет хакерам удаленно выполнять код для изменения параметров брандмауэра и других сетевых параметров, которые могут открыть вашу сеть для дальнейшего взлома. Они также могут выполнять атаки типа «отказ в обслуживании» (DoS), чтобы помешать вашей работе.

Хотя не все маршрутизаторы подвержены этой уязвимости, и некоторые поставщики могут выпускать обновления для устранения уязвимых маршрутизаторов, лучше отключить UPnP. Кроме того, вам следует рассмотреть возможность блокировки трафика UPnP на брандмауэре вашего маршрутизатора или интернет-шлюза.

Если вы хотите узнать, подвержен ли ваш компьютер каким-либо конкретным атакам UPnP, вы можете использовать утилиту ScanNow for UPnP от Rapid7.

Отключить WPS

Большинство маршрутизаторов Wi-Fi, выпущенных в 2007 году и позже, включают функцию защищенной настройки Wi-Fi (WPS). Он был создан Wi-Fi Alliance, чтобы упростить процесс подключения клиентов Wi-Fi с использованием персонального (PSK) режима безопасности Wi-Fi Protected Access (WPA или WPA2). В зависимости от поддержки WPS вашим маршрутизатором и устройством конечного пользователя, вы можете либо нажать кнопку на маршрутизаторе, либо ввести PIN-код маршрутизатора на устройстве, которое вы хотите подключить.

Однако в конце 2011 года была публично обнаружена уязвимость, которая делает взлом WPS довольно простым с помощью таких инструментов, как Reaver и wpscrack. Уязвимость заключается в конструкции метода PIN-кода WPS. Это позволяет локальному злоумышленнику взломать комбинацию PIN-кода с помощью грубой силы, а также выполнить DoS-атаки типа «отказ в обслуживании». Получив PIN-код, они могут подключиться к защищенной сети, не взламывая фактическое шифрование. Вы можете узнать больше об уязвимости WPS из прошлой статьи.

Хотя поставщики могут реализовать в своих маршрутизаторах функции, помогающие уменьшить угрозу этой уязвимости, по возможности лучше отключить WPS. Кроме того, вы можете использовать корпоративный (802.1X) режим безопасности WPA или WPA2, который не подвержен этой уязвимости. Вы можете узнать больше о развертывании корпоративной безопасности Wi-Fi на малых предприятиях из предыдущей статьи.

Отключить удаленное управление через веб-интерфейс

Есть несколько эксплойтов, которые хакеры могут использовать, чтобы получить контроль над вашим маршрутизатором через Интернет, когда у вас включено удаленное управление через Интернет. Поэтому отключите его, чтобы веб-интерфейс вашего маршрутизатора не был доступен в Интернете.

Вместо использования функции удаленного управления маршрутизатора рассмотрите возможность подключения к сети через VPN, когда необходим удаленный доступ. Если это невозможно, проверьте, поддерживает ли маршрутизатор удаленный доступ по SSH, который более безопасен, чем доступ через Интернет. И в крайнем случае, если вы хотите использовать удаленное управление через Интернет, посмотрите, можете ли вы хотя бы указать разрешенные IP-адреса, чтобы ограничить доступ.

Включить веб-управление по протоколу HTTPS

Существуют также уязвимости веб-управления в вашей локальной сети. Злоумышленник или хакер с внутренним доступом может подслушать сетевой трафик и, возможно, перехватить или взломать ваши логины в веб-интерфейсе маршрутизатора. Получив доступ, они могут изменить настройки маршрутизатора и создать брешь в безопасности сети. Чтобы предотвратить перехват или взлом пароля вашего маршрутизатора, включите доступ по HTTPS, если он предлагается.

Убедитесь, что брандмауэр включен

Хотя обычно он включен по умолчанию, убедитесь, что брандмауэр маршрутизатора включен. Также используйте любые дополнительные функции безопасности, такие как отключение ping-ответов и любые функции, помогающие предотвратить DoS-атаки.

Изменить пароль администратора

Несмотря на то, что вы принимаете меры для предотвращения доступа хакеров к веб-управлению, вам все равно следует изменить пароль администратора по умолчанию. Это также поможет защитить ваш маршрутизатор, если пользователи в сети попытаются получить к нему доступ.

Включить ведение журналов и просмотр журналов

Большинство маршрутизаторов имеют функцию ведения журнала, которая записывает информационные сообщения и предупреждения системы безопасности. Убедитесь, что ведение журналов включено, и периодически проверяйте их на наличие признаков атак. Вы можете обнаружить признаки попыток взлома и другие проблемы.

Надежно сохраните файл резервной копии вашего маршрутизатора

Если вы сохраняете конфигурацию маршрутизатора, убедитесь, что файл резервной копии хранится в безопасном месте. Существуют утилиты, которые могут выполнять взлом пароля администратора в автономном режиме с использованием файла резервной копии.

Обновите прошивку

Как уже упоминалось, поставщики могут — но не обязаны — выпускать обновления своего сетевого оборудования, чтобы залатать известные бреши в безопасности, улучшить устройство и даже добавить новые функции. Так что следите за обновлениями прошивки для ваших моделей. Посетите веб-сайт поставщика, чтобы просмотреть загруженные прошивки, а затем проверьте версию прошивки вашего устройства, чтобы узнать, есть ли более новая версия, до которой вы можете обновиться.

Резюме

Мы обсудили множество уязвимостей безопасности, затрагивающих потребительские маршрутизаторы и маршрутизаторы для малого бизнеса. Всегда проверяйте, включен ли брандмауэр маршрутизатора и пользуйтесь всеми дополнительными функциями безопасности. Для защиты от недавно обнаруженных удаленных уязвимостей UPnP рассмотрите возможность отключения этой службы на вашем маршрутизаторе. Чтобы предотвратить локальные атаки с целью взлома вашего PIN-кода WPS, рассмотрите также возможность отключения WPS.

Кроме того, рассмотрите возможность отключения удаленного веб-доступа к маршрутизатору и включения шифрования HTTPS для защиты локального доступа. Не забудьте изменить пароль администратора по умолчанию, включить и проверить журналы маршрутизатора и безопасно хранить файлы резервных копий маршрутизатора.

Наконец, убедитесь, что ваш маршрутизатор и другие сетевые устройства поддерживаются в актуальном состоянии с помощью обновлений прошивки, выпущенных поставщиками.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023