Securitatea routerului tău urât: iată cum să o repari

Cele mai multe routere Wi-Fi și gateway-uri de rețea utilizate de clienții casnici nu sunt profund sigure. Unii sunt atât de vulnerabili la atacuri încât ar trebui aruncați afară, a declarat un expert în securitate la conferința de hackeri HOPE X din New York.

  • Cele mai bune routere Wi-Fi pentru casa ta sau biroul mic
  • Cel mai bun software antivirus pentru a vă menține computerul curat
  • Modem vs. router: cum sunt diferite și ce fac
  • Cum să accesați setările routerului dvs

„Dacă un router este vândut la [un renumit lanț de electronice de vânzare cu amănuntul cu un logo albastru și galben], nu doriți să-l cumpărați”, a spus consultantul independent în computer Michael Horowitz audienței.



  • Oferte de Black Friday: vezi toate cele mai bune oferte chiar acum!

„Dacă routerul îți este oferit de furnizorul tău de servicii de internet [ISP], nici tu nu vrei să-l folosești, pentru că ei oferă milioane de ele, iar asta îi face o țintă principală atât pentru agențiile de spionaj, cât și pentru băieții răi. ' el a adăugat

Horowitz a recomandat consumatorilor conștienți de securitate să treacă la routere comerciale destinate întreprinderilor mici sau cel puțin să-și separe modemurile și routerele în două dispozitive separate. (Multe unități „gateway”, adesea furnizate de ISP-uri, pot acționa ca ambele.) În lipsa uneia dintre aceste opțiuni, Horowitz a oferit o listă de precauții pe care utilizatorii le-ar putea lua.

  • LA router VPN poate fi cea mai bună modalitate de a vă asigura Wi-Fi acasă

Probleme cu routerele de consum

Routerele sunt calitățile de bătaie esențiale, dar necunoscute ale rețelelor moderne de calculatoare. Cu toate acestea, puțini utilizatori casnici își dau seama că routerele sunt de fapt computere cu drepturi depline, cu propriile lor sisteme de operare, software și vulnerabilități.

„Un router compromis vă poate spiona”, a spus Horowitz, explicând că un router aflat sub controlul unui atacator poate organiza un atac de tip om-in-the-middle, poate modifica date necriptate sau poate trimite utilizatorul către site-uri „geamănoase” mascandu-se la fel de des. a folosit webmail sau portaluri online-banking.

Multe dispozitive home-gateway de calitate pentru consumatori nu reușesc să notifice utilizatorii dacă și când actualizările de firmware devin disponibile, chiar dacă aceste actualizări sunt esențiale pentru a corecta găurile de securitate, a menționat Horowitz. Unele alte dispozitive nu vor accepta parole mai lungi de 16 caractere - lungimea minimă pentru siguranța parolei astăzi.

Pwn universal și joacă

Milioane de routere din întreaga lume au protocolul de rețea Universal Plug and Play (UPnP) activat pe porturile care se confruntă cu internet, ceea ce le expune la atacuri externe.

„UPnP a fost conceput pentru LAN [rețele locale] și, ca atare, nu are securitate. În sine, nu este o problemă atât de mare”, a spus Horowitz.

baterie Kitchenaid vânzare de vinerea neagră

Dar, a adăugat el, „UPnP pe internet este ca și cum ai merge la o operație și ai avea medicul să lucreze pe piciorul greșit”.

O altă problemă este Protocolul de administrare a rețelei de acasă (HNAP), un instrument de gestionare găsit pe unele routere mai vechi de calitate pentru consumatori, care transmite informații sensibile despre router pe Web la http://[adresa IP router]/HNAP1/ și oferă controlul către utilizatori la distanță care furnizează nume de utilizator și parole administrative (pe care mulți utilizatori nu le schimbă niciodată față de valorile implicite din fabrică).

În 2014, un vierme de ruter numit TheMoon a folosit protocolul HNAP pentru a identifica routerele vulnerabile marca Linksys la care s-ar putea răspândi. (Linksys a emis rapid un patch de firmware.)

„De îndată ce ajungi acasă, acesta este ceva ce vrei să faci cu toate routerele tale”, a spus Horowitz publicului cunoscător de tehnologie. „Accesați /HNAP1/ și, sperăm, nu veți primi niciun răspuns, dacă acesta este singurul lucru bun. Sincer, dacă primești un răspuns înapoi, aș arunca routerul.

  • Infiintarea unui router virtual este modalitatea perfectă de a vă împărtăși conexiunile

Amenințarea WPS

Cel mai rău dintre toate este Wi-Fi Protected Setup (WPS), o caracteristică ușoară de utilizat care permite utilizatorilor să ocolească parola rețelei și să conecteze dispozitivele la o rețea Wi-Fi pur și simplu introducând un PIN de opt cifre imprimat pe router. Chiar dacă parola de rețea sau numele rețelei este schimbat, PIN-ul rămâne valabil.

„Aceasta este o problemă uriașă de securitate ștearsă în mod explicit”, a spus Horowitz. „Numărul acela de opt cifre te va duce în [router] indiferent de situație. Așa că un instalator vine la tine acasă, întoarce routerul, face o poză cu partea de jos a acestuia și acum poate intra în rețeaua ta pentru totdeauna.

Acel PIN de opt cifre nu este chiar de opt cifre, a explicat Horowitz. De fapt, sunt șapte cifre plus o cifră finală a sumei de control. Primele patru cifre sunt validate ca o secvență și ultimele trei ca alta, rezultând doar 11.000 de coduri posibile în loc de 10 milioane.

„Dacă WPS este activ, puteți intra în router”, a spus Horowitz. „Trebuie doar să faci 11.000 de presupuneri” – o sarcină banală pentru majoritatea computerelor și smartphone-urilor moderne.

Apoi, există portul de rețea 32764, despre care cercetătorul francez de securitate Eloi Vanderbeken a descoperit în 2013 că a fost lăsat deschis în liniște pe routerele gateway vândute de câteva mărci importante.

Folosind portul 32764, oricine dintr-o rețea locală – care include ISP-ul unui utilizator – ar putea prelua controlul administrativ deplin asupra unui router și chiar poate efectua o resetare din fabrică, fără o parolă.

Portul a fost închis pe majoritatea dispozitivelor afectate în urma dezvăluirilor lui Vanderbeken, dar mai târziu a descoperit că ar putea fi redeschis cu ușurință cu un pachet de date special conceput, care ar putea fi trimis de la un ISP.

„Acest lucru este atât de evident făcut de o agenție de spionaj, este uimitor”, a spus Horowitz. — A fost deliberat, fără îndoială.

    Citeste mai mult:Cel mai bun VPN din Dubai poate ocoli legile draconice ale internetului din Emiratele Arabe Unite

Cum să blocați routerul de acasă

Primul pas către securitatea routerului de acasă, a spus Horowitz, este să vă asigurați că routerul și modemul de cablu nu sunt un singur dispozitiv. Mulți ISP-uri închiriază clienților astfel de dispozitive cu dublu scop, dar acești clienți vor avea puțin control asupra propriilor rețele de acasă. (Dacă aveți nevoie să vă obțineți propriul modem, consultați recomandările noastre pentru cel mai bun modem prin cablu.)

„Dacă vi s-a oferit o singură cutie, pe care majoritatea oamenilor cred că o numesc gateway”, a spus Horowitz, „ar trebui să puteți contacta ISP-ul și să-i puneți în jos cutia, astfel încât să acționeze doar ca un modem. Apoi poți adăuga propriul tău router la el.

În continuare, Horowitz le-a recomandat clienților să cumpere un router Wi-Fi/Ethernet de calitate comercială de calitate scăzută, cum ar fi Pepwave Surf SOHO , care se vinde cu amănuntul la aproximativ 200 de dolari (deși aveți grijă la prețuri), mai degrabă decât un router prietenos pentru consumatori, care poate costa chiar și 20 de dolari.

Este puțin probabil ca routerele de calitate comercială să aibă UPnP sau WPS activat. Pepwave, a remarcat Horowitz, oferă caracteristici suplimentare, cum ar fi derularea firmware-ului în cazul în care o actualizare a firmware-ului merge prost. (Mulți routere de consum de top , în special cele destinate jucătorilor, oferă și acest lucru.)

Indiferent dacă un router este de calitate comercială sau de consum, există mai multe lucruri, variind de la ușor la dificil, pe care administratorii de rețea de domiciliu le pot face pentru a se asigura că routerele lor sunt mai sigure.

Remedieri simple pentru routerul wireless de acasă

Schimbați acreditările administrative din numele de utilizator și parola implicite. Sunt primele lucruri pe care le va încerca un atacator. Manualul de instrucțiuni al routerului ar trebui să vă arate cum să faceți acest lucru. Dacă nu, atunci caută-l pe Google.

Faceți parola lungă, puternică și unică și nu o faceți asemănătoare cu parola obișnuită pentru a accesa rețeaua Wi-Fi.

Schimbați numele rețelei sau SSID , de la „Netgear”, „Linksys” sau oricare ar fi valoarea implicită la ceva unic – dar nu-i da un nume care să te identifice.

„Dacă locuiți într-un bloc de apartamente în apartamentul 3G, nu vă numiți SSID-ul „Apartament 3G”, a glumit Horowitz. „Spune-i „Apartament 5F”.

Activați actualizările automate de firmware daca sunt disponibile. Routerele mai noi, inclusiv cele mai multe routere mesh, vor actualiza automat firmware-ul routerului.

Activați WPA2 wireless criptare astfel încât numai utilizatorii autorizați să poată accesa rețeaua dvs. Dacă routerul dvs. acceptă doar vechiul standard WEP, este timpul pentru un nou router.

Activați noul standard de criptare WPA3 dacă routerul îl acceptă. Cu toate acestea, de la jumătatea anului 2021, doar cele mai noi routere și dispozitive client (PC-uri, dispozitive mobile, dispozitive pentru casă inteligentă).

Dezactivați configurarea protejată prin Wi-Fi , dacă routerul vă permite.

Configurați o rețea Wi-Fi pentru oaspeți și să le ofere vizitatorilor, dacă routerul dumneavoastră are o astfel de caracteristică. Dacă este posibil, setați rețeaua pentru oaspeți să se oprească după o anumită perioadă de timp.

„Puteți să vă porniți rețeaua de oaspeți și să setați un temporizator, iar trei ore mai târziu, acesta se oprește singur”, a spus Horowitz. „Aceasta este o caracteristică de securitate foarte bună.”

Dacă aveți o mulțime de dispozitive smart-home sau Internet of Things , este posibil ca multe dintre ele să nu fie teribil de sigure. Conectați-le rețeaua dvs. Wi-Fi pentru oaspeți în loc de rețeaua principală pentru a minimiza daunele rezultate din orice compromis potențial al unui dispozitiv IoT.

Nu utilizați managementul ruterului bazat pe cloud dacă producătorul routerului dvs. îl oferă. În schimb, află dacă poți dezactiva această funcție.

„Aceasta este o idee foarte proastă”, a spus Horowitz. „Dacă routerul tău oferă asta, nu aș face-o, pentru că acum ai încredere în altă persoană între tine și router”.

Multe sisteme de „router mesh”, cum ar fi Nest Wifi și Eero , sunt în întregime dependente de cloud și pot interfața cu utilizatorul doar prin intermediul aplicațiilor pentru smartphone-uri bazate pe cloud.

În timp ce aceste modele oferă îmbunătățiri de securitate în alte domenii, cum ar fi actualizările automate de firmware, ar putea merita să căutați un router tip rețea care să permită accesul administrativ local, cum ar fi Netgear Orbi.

Remedieri moderat de dificile pentru routerul de acasă

Instalați un firmware nou când devine disponibilă. Acesta este modul în care producătorii de routere instalează corecții de securitate. Conectați-vă în mod obișnuit la interfața administrativă a routerului pentru a verifica — iată un ghid cu mai multe informații .

Cu unele mărci, poate fi necesar să verificați site-ul web al producătorului pentru actualizări de firmware. Dar aveți un router de rezervă la îndemână dacă ceva nu merge bine. Unele routere vă permit, de asemenea, să faceți o copie de rezervă a firmware-ului curent înainte de a instala o actualizare.

Setați routerul să utilizeze banda de 5 GHz pentru Wi-Fi în loc de banda standard de 2,4 GHz, dacă este posibil - și dacă toate dispozitivele dvs. sunt compatibile.

„Banda de 5 GHz nu călătorește atât de departe decât banda de 2,4 GHz”, a spus Horowitz. „Așa că, dacă există un tip rău în cartierul tău la un bloc sau două distanță, s-ar putea să vă vadă rețeaua de 2,4 GHz, dar s-ar putea să nu vă vadă rețeaua de 5 GHz”.

Dezactivați accesul administrativ de la distanță , și dezactivați accesul administrativ prin Wi-Fi . Administratorii ar trebui să se conecteze la routere numai prin Ethernet prin cablu. (Din nou, acest lucru nu va fi posibil cu multe routere mesh.)

Sfaturi avansate de securitate a routerului pentru utilizatorii cunoscători de tehnologie

Modificați setările pentru interfața web administrativă , dacă routerul dvs. permite acest lucru. În mod ideal, interfața ar trebui să impună o conexiune HTTPS securizată printr-un port non-standard, astfel încât adresa URL pentru acces administrativ să fie ceva de genul, pentru a folosi exemplul lui Horowitz, „https://192.168.1.1:82” în loc de cel mai standard. „http://192.168.1.1”, care utilizează implicit portul 80 pentru internet.

Utilizați modul incognito sau privat al unui browser atunci când accesați interfața administrativă, astfel încât noua adresă URL pe care ați setat-o ​​la pasul de mai sus să nu fie salvată în istoricul browserului.

Dezactivați PING, Telnet, SSH, UPnP și HNAP , daca este posibil. Toate acestea sunt protocoale de acces la distanță. În loc să le setați porturile relevante la „închis”, setați-le la „stealth”, astfel încât să nu se dea niciun răspuns la comunicațiile externe nesolicitate care pot proveni de la atacatorii care vă cercetează rețeaua.

„Fiecare router are o opțiune de a nu răspunde la comenzile PING”, a spus Horowitz. „Este absolut ceva pe care doriți să îl activați – o caracteristică de securitate excelentă. Te ajută să te ascunzi. Desigur, nu te vei ascunde de ISP-ul tău, dar te vei ascunde de un tip din Rusia sau China.

Schimbați sistemul de nume de domeniu (DNS) al routerului server de la propriul server ISP la unul menținut de OpenDNS (208.67.220.220, 208.67.222.222), Google Public DNS (8.8.8.8, 8.8.4.4) sau Cloudflare (1.1.1.1, 1.0.0.1).

Dacă utilizați IPv6, adresele OpenDNS corespunzătoare sunt 2620:0:ccc::2 și 2620:0:ccd::2, cele Google sunt 2001:4860:4860::8888 și 2001:4860:4860:: 8844, iar cele Cloudflare sunt 2606:4700:4700::1111 și 2606:4700:4700::1001.

Folosește o rețea privată virtuală (VPN) router pentru a suplimenta sau a înlocui routerul existent și a cripta tot traficul de rețea.

„Când spun router VPN, mă refer la un router care poate fi un client VPN”, a spus Horowitz. „Apoi, vă înscrieți la o companie VPN și tot ceea ce trimiteți prin acel router trece prin rețeaua lor. Aceasta este o modalitate excelentă de a ascunde ceea ce faci de la furnizorul tău de servicii de internet.'

Multe routere Wi-Fi de acasă pot fi „flash” pentru a rula firmware open-source, cum ar fi Firmware DD-WRT , care la rândul său acceptă protocolul OpenVPN în mod nativ. Cele mai multe dintre cel mai bun VPN serviciile acceptă și OpenVPN și oferă instrucțiuni despre cum să setați routere open-source pentru a le folosi.

In cele din urma, utilizați Shields Up de la Gibson Research Corp serviciu de scanare porturi la https://www.grc.com/shieldsup . Acesta vă va testa routerul pentru sute de vulnerabilități comune, dintre care majoritatea pot fi atenuate de administratorul routerului.

[Această poveste a fost publicată inițial în iulie 2014 și de atunci a fost actualizată cu informații noi.]

  • Merită riscul VPN-urile gratuite? Experții spun că nu
  • Ce este un router Mesh și aveți nevoie de unul?
  • Cele mai bune extensii Wi-Fi
Cele mai bune oferte de routere de astăziReducerea de Vinerea Neagră devreme se încheie în02ore12min02uscatPret redus Gama NETGEAR WiFi 6 Mesh... Amazon Prim 129,99 USD 73,53 USD Vedere Pret redus NETGEAR EAX20 cu 4 porturi - Wi-Fi... Dell 129,99 USD 79,99 USD Vedere Pret redus NETGEAR - EAX20 AX1800 WiFi 6... Walmart 149,99 USD 95,58 USD Vedere Verificați mai multe se ocupă la Amazon Walmart Cea mai buna achizitie Dell Verificăm peste 250 de milioane de produse în fiecare zi pentru cele mai bune prețuri