Для доступу до Інтернету вдома і невеликих офісах використовуються прості та доступні за цінами маршрутизатори сегменту «Дім та малий офіс». Їх в народі ще називають: роутер, модем, Wi-Fi, ота "коробушка з рожками". Маршрутизатори служать шлюзом між Інтернетом і вашим приватним цифровим простором. Тому впровадження заходів безпеки щодо маршрутизатора має вирішальне значення для захисту цього простору. Давайте розбиратися які це заходи.
Кіберзлочинці постійно шукають шляхи для компрометації вашої мережі та даних і маршрутизатор є для них точкою входу. Тож, так само, як ви не залишаєте ваш дім з широко відкритими дверима, ви не повинні залишати маршрутизатор без захисту.
Якщо кіберзлочинці отримають доступ до вашого маршрутизатора, це може дозволити їм проникнути на інші пристрої в мережі та використати їх не тільки з метою крадіжки ваших даних, а й використати їх в інших більш масштабних кібератаках.
Виконання простих кроків для захисту маршрутизатора допоможе вам, вашій родині, вашому бізнесу не стати жертвами кіберзлочинців.
1. Переконайтесь, що ваш маршрутизатор не є EOL (End-of-life product – це продукт, термін служби якого закінчився). Виробники надають оновлення безпеки для домашніх маршрутизаторів протягом обмеженого часу, зазвичай від 3 до 5 років. Коли маршрутизатори більше не отримують оновлень безпеки, вони називаються EOL.
Як тільки маршрутизатор досягає EOL, його слід замінити в пріоритетному порядку. Маршрутизатори EOL особливо вразливі до експлуатації, оскільки вони більше не захищені оновленнями безпеки.
2. Увійдіть на свій маршрутизатор через Web-браузер.
3. Змініть ім'я користувача та пароль маршрутизатора за замовчуванням. З заводу всі маршрутизатори йдуть з однаковими логінами та паролями, які зазвичай вказані на наліпці знизу корпусу або в настанові користувача.
4. Вимкніть віддалене керування за протоколами Telnet, SSH, SNMP. Доступ через Web-браузер дайте тільки з локальної мережі.
5. Підтримуйте прошивку маршрутизатора в актуальному стані. Ваш маршрутизатор потребує регулярного оновлення програмного забезпечення (прошивки), як телефон чи комп'ютер. Ці оновлення виправляють проблеми з безпекою та іноді пропонують нові функції.
6. Змініть ім'я та пароль мережі Wi-Fi за замовчуванням. Ім'я та пароль мережі Wi-Fi – це те, що ви використовуєте для підключення пристроїв до мережі Wi-Fi та доступу до Інтернету. Ім'я мережі Wi-Fi часто називають ідентифікатором SSID.
Хтось може використовувати ім'я мережі Wi-Fi маршрутизатора за замовчуванням, щоб визначити марку та модель маршрутизатора. Потім вони можуть використовувати цю інформацію, щоб спробувати отримати доступ до вашого маршрутизатора.
Наприклад, як виглядає пошук популярної в Україні моделі маршрутизатора TP-Link TL-WR841N у базі вразливостей CVE:
Інформація щодо моделі маршрутизатора спрощує кіберзловмиснику реалізацію його задуму.
7. Перевірте підключені пристрої. Перевірте, які пристрої підключено до вашої мережі Wi-Fi. Ви можете переглянути підключені пристрої в налаштуваннях маршрутизатора. Якщо ви бачите будь-які невідомі пристрої, одразу змініть пароль мережі Wi-Fi та (бажано) її ім'я. Ваші власні пристрої можна повторно підключити, а будь-які неавторизовані підключення буде розірвано.
8. Вимикайте маршрутизатор під час від'їзду чи відпустки. Якщо ви збираєтеся у відпустку, вимкніть маршрутизатор. Застосування цього заходу безпеки запобігає несанкціонованому доступу під час вашої відсутності.
9. Увімкніть гостьовий Wi-Fi. Підключення відвідувачів і ненадійних пристроїв до гостьової мережі є безпечнішим способом надання їм доступу до Інтернету. Він забезпечує певне відокремлення між ненадійними пристроями та вашою основною мережею. Гостьовий Wi-Fi налаштовується за допомогою окремого імені мережі Wi-Fi та пароля.
10. Використовуйте надійне шифрування Wi-Fi. Шифрування – це те, що захищає вашу мережеву активність та інформацію під час передавання через Wi-Fi. Застарілі алгоритми шифрування: WEP, WPA версії 1 або незашифрований (відкритий) Wi-Fi можуть дозволити будь-кому, хто перебуває в межах досяжності вашого маршрутизатора, бачити вашу активність.
Встановіть протокол шифрування Wi-Fi на WPA3. Якщо у вас виникли проблеми з підключенням пристроїв до Wi-Fi з увімкненим WPA3, можливо пристрої не сумісні з WPA3. У такому разі встановіть протокол шифрування Wi-Fi у перехідному режимі WPA3 (transition mode). Якщо такого режиму немає, увімкніть WPA2 (іноді його називають WPA2-Personal або WPA2-PSK).
10. Вимкніть небезпечні та невикористовувані функції. Універсальна технологія Plug and Play (UPnP), протокол передачі файлів (FTP), функція кнопки WPS, переадресація портів – це все те, що бажано вимкнути для більшої захищеності.
11. Дбайте про фізичну безпеку маршрутизатора. Фізична безпека маршрутизатора часто не береться до уваги в домашніх умовах і невеликих офісах. Впровадження методів фізичної безпеки маршрутизаторів, особливо для бізнесу, допоможе запобігти несанкціонованому доступу, крадіжці або пошкодженню маршрутизатора. Скористайтеся наведеними нижче запитаннями, щоб оцінити фізичну безпеку маршрутизатора:
- Ваш маршрутизатор знаходиться в безпечному місці?
- Хто має доступ до вашого маршрутизатора?
- Чи видно ваш маршрутизатор оточуючим? Тобто він стоїть на полиці, де покупці/клієнті/перехожі можуть побачити його?
- Чи все що підключено до вашого маршрутизатора є вашим, і чи служить це вашим цілям?
Отже, запровадження всіх вищенаведених пунктів значно ускладнить солодке життя кіберзловмисника.
Матеріал підготовлено на базі рекомендацій Австралійського центру кібербезпеки Австралійського управління зв'язку ASD’s ACSC.