Якщо
ви не знаєте, чим зайняти себе довгими осінніми вечорами, то можете
витратити трохи часу на те, щоб переконатися в безпеці власної домашньої
Wi-Fi мережі. Підготовлений Департаментом кіберполіції України набір рекомендацій
може здатися надто очевидним для просунутих користувачів, проте навіть
їм не завадить пробігтися по пунктах і переконатися, що вони не забули
включити всі необхідні параметри. А ось тим, кому роутер налаштував поспішаючий майстер провайдера, ці поради варто прочитати в обов'язковому порядку.
На сьогоднішній день переважна більшість користувачів домашніх мереж
використовує Wi-Fi роутери для доступу до Інтернет, проте не менш часто
Wi-Fi роутери використовуються зловмисниками для здійснення шахрайських
дій. Так яким же чином убезпечити свій домашній роутер від несанкціонованого втручання? Що зловмисник може здійснити перебуваючи у вашій Wi-Fi мережі? 1) Змінити настройки DNS-сервера. Будь-яке доменне ім'я, наприклад google.com.ua, відповідає індивідуальній IP-адресі.
Сайт google.com.ua відповідає IP-адресою 74.125.232.255, і якщо ввести в
браузері замість імені сайту google.com.ua IP-адреса 74.125.232.255, то
завдяки DNS-сервера буде здійснено перехід на сайт google.com.ua.
Зловмисник може змінити DNS-сервер на свій власний і налаштувати,
наприклад, щоб браузер при введенні сайту google.com.ua переходив на
його особистий IP-адрес, в результаті чого буде здійснено перехоплення
веб-трафіку або зараження вашого особистого ПК, або будь-якого пристрою,
яке отримує доступ до глобальної мережі Інтернет з вашого роутера або
точки доступу.
2) Наступне, що може здійснити зловмисник - це перехоплення вашої
особистої інформації шляхом атаки «атака посередника» або «людина
посередині» (man-in-the-middle, MitM).
За допомогою такої атаки весь веб-трафік, яким за замовчуванням
відправляється до Wi-Fi роутера, буде відправлений спочатку хакеру, а
потім від хакеру до роутера, таким чином, що Wi-Fi роутер не помітить
змін.
Така атака дозволяє хакеру вкрасти ваші особисті дані (логіни, паролі),
переглянути ваш веб-трафік (сайти на які ви заходили) і т.д.
3) Слід зазначити, що перебуваючи у вашій особистій Wi-Fi мережі
хакер може здійснювати хакерські атаки (зломи сайтів, DDOS-атаки,
додавати ваші пристрої до бот-мереж, завантажувати дитячу порнографію і
т.д.) та інші незаконні дії від вашого імені, оскільки Wi-Fi роутер має
IP-адресу, який вам надав ваш провайдер при сплаті Інтернет послуг.
Також на вашу IP-адресу будуть ідентифікуватися всі пристрої
(смартфони, планшети, ноутбуки і т.д.), підключені до вашого роутеру або
точки доступу в мережі Інтернет. Департамент кіберполіції радить: 1) Приховувати назву Wi-Fi мережі. Назва мережі або SSID (Service Set Identifier) - це ім'я, яке бачать всі навколишні при пошуку мережі. Знаючи цю назву можна підключитися до тієї чи іншої Wi-Fi мережі. За замовчуванням роутери і точки доступу показують назву мережі всім бажаючим. Назву можна відключити в розділі «настройки бездротових мереж» (Wireless Settings) вашого роутера або точки доступу. В даному розділі є опція «включити SSID» (Enable SSID) або «відключити SSID» (Disable SSID). 2) Включати шифрування.
Ця установка також знаходиться в розділі «настройки бездротових мереж»
(Wireless Settings) і називається «тип шифрування» (Encryption
settings). Залежно від типу роутера або точки доступу зазвичай там присутня приблизно 5 варіантів на вибір. WEP (WIRED EQUIVALENT PRIVACY) - слабкий тип шифрування.
До роутера або точки доступу з таким типом шифрування зловмисник може
отримати доступ за 15 хвилин - 24 годин, в залежності від активності
мережі. Не рекомендується до використання взагалі. WPS / QSS WPS, він же QSS, дозволяє клієнту підключитися до точки доступу за допомогою 8-символьного коду, що складається з цифр.
У грудні 2011 Стефан Фібёк (англ. Stefan Viehböck) і Крейг Хеффнер
(англ. Craig Heffner) розповіли про серйозні діри в протоколі WPS.
Виявилося, що якщо в точці доступу активований WPS c PIN (який за
замовчуванням включений в більшості роутерів), то підібрати PIN-код для
підключення можна за лічені години. Департамент кіберполіції рекомендує відключити цю опцію. WPA і WPA2
(WI-FI PROTECTED ACCESS) підтримують два різних режими початкової
аутентифікації (перевірка пароля доступу клієнта до мережі) - PSK і
Enterprise. WPA-PSK і WPA2-PSK- це найпоширеніші на сьогоднішній день варіанти шифрування для домашніх Wi-Fi мереж.
Підключення до мережі здійснюється за єдиним паролем, який вводиться на
пристрої при підключенні, різниця в типі шифрування, WPA-PSK - тип
шифрування TKIP, WPA2-PSK - AES (посилений тип шифрування).
WPA Enterprise відрізняється від WPA-PSK тим, що для використання
необхідно налаштувати сервер - RADIUS (Remote Authentication Dial In
User Service).
По суті сервер RADIUS - це служба віддаленої аутентифікації
користувачів, яка перевіряє облікові дані користувача для доступу до
мережі. 3) Фільтрувати MAC-адреси. Ще один спосіб захистити власну домашню Wi-Fi мережу - це фільтрація пристроїв по MAC-адресу. MAC-адреса - це унікальний номер (типу серійного номера) мережевий Ethernet або Wi-Fi карти.
У настройки роутера або точки доступу необхідно додати MAC-адреси тих
пристроїв, які будуть підключатися до вашого роутеру або точки доступу.
Користувачі з MAC-адресами відмінними від тих, які вказані в
налаштуваннях, не будуть з'єднані з роутером або точкою доступу,
навіть при правильному введенні пароля доступу. У поширених моделях роутерів дана функція називається «фільтрація MAC-адрес» (MAC Filtering).
В операційних системах Windows MAC-адресу можна подивитися за допомогою
комбінації клавіш Windows + R і введення команди cmd, в результаті чого
відкриється командний рядок Windows, в подальшому необхідно ввести
ipconfig/all, далі шукаємо рядок бездротове з'єднання з мережею
(wireless network connection) і копіюємо значення фізичну адресу
(physical address) - це і є MAC-адрес. У системах типу Unix необхідно ввести команду ifconfig. 4) Відключати доступ до адміністрування роутера або точки доступу з глобальної мережі Інтернет. Найчастіше Wi-Fi роутери підтримують функцію віддаленого адміністрування через інтернет. Однак для більшості користувачів немає необхідності в віддаленій налаштування Wi-Fi.
Залишивши цю функцію ви створюєте додаткову точку входу, якою може
скористатися зловмисник, щоб отримати доступ до вашої Wi-Fi мережі.
Департамент кіберполіції України радить при налаштуванні вашої
особистої Wi-Fi мережі не використовувати стандартні параметри і
користуватися цією інструкцією. Джерело: Департамент кіберполіції України |