Поради від кіберполіції України: Як захистити домашню Wi-Fi мережу від зловмисників? - 19 Вересня 2016

Головна » 2016 » Вересень » 19 » Поради від кіберполіції України: Як захистити домашню Wi-Fi мережу від зловмисників?

12.31.11

Поради від кіберполіції України: Як захистити домашню Wi-Fi мережу від зловмисників?

Якщо ви не знаєте, чим зайняти себе довгими осінніми вечорами, то можете витратити трохи часу на те, щоб переконатися в безпеці власної домашньої Wi-Fi мережі. Підготовлений Департаментом кіберполіції України набір рекомендацій може здатися надто очевидним для просунутих користувачів, проте навіть їм не завадить пробігтися по пунктах і переконатися, що вони не забули включити всі необхідні параметри. А ось тим, кому роутер налаштував поспішаючий майстер провайдера, ці поради варто прочитати в обов'язковому порядку.

На сьогоднішній день переважна більшість користувачів домашніх мереж використовує Wi-Fi роутери для доступу до Інтернет, проте не менш часто Wi-Fi роутери використовуються зловмисниками для здійснення шахрайських дій. Так яким же чином убезпечити свій домашній роутер від несанкціонованого втручання?

Що зловмисник може здійснити перебуваючи у вашій Wi-Fi мережі?

1) Змінити настройки DNS-сервера. Будь-яке доменне ім'я, наприклад google.com.ua, відповідає індивідуальній IP-адресі. Сайт google.com.ua відповідає IP-адресою 74.125.232.255, і якщо ввести в браузері замість імені сайту google.com.ua IP-адреса 74.125.232.255, то завдяки DNS-сервера буде здійснено перехід на сайт google.com.ua.

Зловмисник може змінити DNS-сервер на свій власний і налаштувати, наприклад, щоб браузер при введенні сайту google.com.ua переходив на його особистий IP-адрес, в результаті чого буде здійснено перехоплення веб-трафіку або зараження вашого особистого ПК, або будь-якого пристрою, яке отримує доступ до глобальної мережі Інтернет з вашого роутера або точки доступу.

2) Наступне, що може здійснити зловмисник - це перехоплення вашої особистої інформації шляхом атаки «атака посередника» або «людина посередині» (man-in-the-middle, MitM). За допомогою такої атаки весь веб-трафік, яким за замовчуванням відправляється до Wi-Fi роутера, буде відправлений спочатку хакеру, а потім від хакеру до роутера, таким чином, що Wi-Fi роутер не помітить змін. Така атака дозволяє хакеру вкрасти ваші особисті дані (логіни, паролі), переглянути ваш веб-трафік (сайти на які ви заходили) і т.д.

3) Слід зазначити, що перебуваючи у вашій особистій Wi-Fi мережі хакер може здійснювати хакерські атаки (зломи сайтів, DDOS-атаки, додавати ваші пристрої до бот-мереж, завантажувати дитячу порнографію і т.д.) та інші незаконні дії від вашого імені, оскільки Wi-Fi роутер має IP-адресу, який вам надав ваш провайдер при сплаті Інтернет послуг. Також на вашу IP-адресу будуть ідентифікуватися всі пристрої (смартфони, планшети, ноутбуки і т.д.), підключені до вашого роутеру або точки доступу в мережі Інтернет.

Департамент кіберполіції радить:

1) Приховувати назву Wi-Fi мережі.

Назва мережі або SSID (Service Set Identifier) - це ім'я, яке бачать всі навколишні при пошуку мережі. Знаючи цю назву можна підключитися до тієї чи іншої Wi-Fi мережі. За замовчуванням роутери і точки доступу показують назву мережі всім бажаючим. Назву можна відключити в розділі «настройки бездротових мереж» (Wireless Settings) вашого роутера або точки доступу. В даному розділі є опція «включити SSID» (Enable SSID) або «відключити SSID» (Disable SSID).

2) Включати шифрування.

Ця установка також знаходиться в розділі «настройки бездротових мереж» (Wireless Settings) і називається «тип шифрування» (Encryption settings). Залежно від типу роутера або точки доступу зазвичай там присутня приблизно 5 варіантів на вибір.

WEP (WIRED EQUIVALENT PRIVACY) - слабкий тип шифрування. До роутера або точки доступу з таким типом шифрування зловмисник може отримати доступ за 15 хвилин - 24 годин, в залежності від активності мережі. Не рекомендується до використання взагалі. WPS / QSS WPS, він же QSS, дозволяє клієнту підключитися до точки доступу за допомогою 8-символьного коду, що складається з цифр. У грудні 2011 Стефан Фібёк (англ. Stefan Viehböck) і Крейг Хеффнер (англ. Craig Heffner) розповіли про серйозні діри в протоколі WPS. Виявилося, що якщо в точці доступу активований WPS c PIN (який за замовчуванням включений в більшості роутерів), то підібрати PIN-код для підключення можна за лічені години. Департамент кіберполіції рекомендує відключити цю опцію.

WPA і WPA2 (WI-FI PROTECTED ACCESS) підтримують два різних режими початкової аутентифікації (перевірка пароля доступу клієнта до мережі) - PSK і Enterprise. WPA-PSK і WPA2-PSK- це найпоширеніші на сьогоднішній день варіанти шифрування для домашніх Wi-Fi мереж. Підключення до мережі здійснюється за єдиним паролем, який вводиться на пристрої при підключенні, різниця в типі шифрування, WPA-PSK - тип шифрування TKIP, WPA2-PSK - AES (посилений тип шифрування). WPA Enterprise відрізняється від WPA-PSK тим, що для використання необхідно налаштувати сервер - RADIUS (Remote Authentication Dial In User Service). По суті сервер RADIUS - це служба віддаленої аутентифікації користувачів, яка перевіряє облікові дані користувача для доступу до мережі.

3) Фільтрувати MAC-адреси.

Ще один спосіб захистити власну домашню Wi-Fi мережу - це фільтрація пристроїв по MAC-адресу. MAC-адреса - це унікальний номер (типу серійного номера) мережевий Ethernet або Wi-Fi карти. У настройки роутера або точки доступу необхідно додати MAC-адреси тих пристроїв, які будуть підключатися до вашого роутеру або точки доступу. Користувачі з MAC-адресами відмінними від тих, які вказані в налаштуваннях, не будуть з'єднані з роутером або точкою доступу, навіть при правильному введенні пароля доступу.

У поширених моделях роутерів дана функція називається «фільтрація MAC-адрес» (MAC Filtering). В операційних системах Windows MAC-адресу можна подивитися за допомогою комбінації клавіш Windows + R і введення команди cmd, в результаті чого відкриється командний рядок Windows, в подальшому необхідно ввести ipconfig/all, далі шукаємо рядок бездротове з'єднання з мережею (wireless network connection) і копіюємо значення фізичну адресу (physical address) - це і є MAC-адрес. У системах типу Unix необхідно ввести команду ifconfig.

4) Відключати доступ до адміністрування роутера або точки доступу з глобальної мережі Інтернет.

Найчастіше Wi-Fi роутери підтримують функцію віддаленого адміністрування через інтернет. Однак для більшості користувачів немає необхідності в віддаленій налаштування Wi-Fi. Залишивши цю функцію ви створюєте додаткову точку входу, якою може скористатися зловмисник, щоб отримати доступ до вашої Wi-Fi мережі.

Департамент кіберполіції України радить при налаштуванні вашої особистої Wi-Fi мережі не використовувати стандартні параметри і користуватися цією інструкцією.

Джерело: Департамент кіберполіції України