Привет, юзер!
Сегодня решил написать статью про роутеры, часто в последнее время встречается информация про взломы роутеров. Как правило, люди не обеспокоены даже базовой настройкой и сразу после покупки настраивают лишь WAN раздел в роутере (для подключения к интернету через провайдера услуг: МТС, Билайн, Мегафон и прочее).
На мой взгляд, для каждого пользователя важно использовать защищенные устройства маршрутизации или роутеры. С помощью этих устройств происходит обмен пакетами между устройствами сети и провайдера на основе правил и таблиц маршрутизации. Получая доступ к роутеру можно получить различную информацию, которая может быть использована в разных целях. Например, это может быть информация об устройствах, посещаемых сайтах, куки, настройках и т.д. Для примера, сегодня покажу на одном из роутеров ASUS как сделать базовую настройку. Возьму популярную модельку RT-AC66U. Для остальных, не переживайте, всё будет практически тоже самое, только через другой интерфейс, так что внимательно прочтите до конца.
В зависимости от фирмы и модели админ панель может отличатся, но принцип настройки практически везде один и тот же. Настройка не занимает много времени, но сбережет вас от среднестатистического хакера-недоучки.
Итак, как можно получить доступ к роутеру?
Злоумышленники используют автоматические сканеры по определенным сетям. Сканеры устройств маршрутизации проводят сканирование по портам, которые традиционно занимают роутеры. Происходит сканирование на нахождения стандартных портов с определенными данными для входа. Если ваш роутер имеет стандартные настройки, то очень большая вероятность, что злоумышленник сможет получить доступ к вашим данным.
На примере одной из программ для сканирования было получено 48 успешных роутеров за 35 минут работы (не буду называть имя сканера, чтобы вы не начали сбручивать роутеры своих знакомых после этой статьи). Если учитывать, что в среднем роутер используют 3-4 устройства, то это достаточно большое количество пользователей.
Как минимизировать риски?
Для того, чтобы снизить шансы и минимизировать риск взлома необходимо проделать небольшой список действий. Кто-то говорит - первое, надо изменить стандартный IP-адрес для локального управления. Но на самом деле, с помощью сканирования злоумышленник быстро обнаружит ваш роутер в локалке и такая настройка ничего не даст. Лучше всего поменять порт для входа, расскажу чуть ниже.
Для начала, необходимо проверить адрес, на котором находиться админ панель роутера. Для этого нужно ввести в браузере адреса:
Что нужно сделать (для всех роутеров)?
1) Обновить прошивку до последней версии
2) Затем, нужно сменить пароль как показано ниже
Имя пользователя и пароль можно изменить в разделе «Системные инструменты»->«Пароль». К примеру я использую 2 роутера Netgear и Микротик, а там всё более заморочено. У вас возможно будут другие разделы
3) Меняем порт подключения на нестандартный
Я бы поставил на любой нестандартный от 20 000 до 50 000, выбирайте тот, который не занят. Метод проверки HTTPS. Можно к примеру 32941.
4) Можете вручную заморочиться и сделать белый список MAC адресов -только авторизованные смогут пользоваться интернетом (WAN)
Можно запретить доступ к средствам администрирования из вне. Для нашего роутера необходимо зайти в раздел «Безопасность»-«Локальное управление». В нашем случае можно указать MAC адреса компьютеров, которые будут иметь доступ к админ панели. Этот способ можно применять для открытых сетей с большим количеством участников.
5) Скрытый SSID выключить (я бы не советовал)
Есть такое мнение: Как правило, почти все WiFi сети имеют свое название. Это название и является SSID (Service Set Identifier). Это имя можно увидеть, сканируя сети вокруг. По умолчанию роутеры показывают имя всем желающим. Это позволит снизить количество разных атак, которые будут осуществляться на вашу сеть. Так как для реализации уязвимости нужно знать SSID.
На мой взгляд, бесполезная трата времени, современные pentesting tools или даже frameworks позволяют видеть скрытые точки доступа, кроме как лишних проблем ничего не даст.
6) Отключение DHCP сервера (на ваше усмотрение в зависимости от задач)
Протокол DHCP применяется для автоматического назначения IP-адреса, шлюза по умолчанию, DNS-сервера и т.д. В качестве транспорта данный протокол использует UDP, а это значит, что мы можем без особых проблем подменять все интересующие нас поля в сетевом пакете, начиная с канального уровня: MAC-адрес источника, IP-адрес источника, порты источника — то есть все, что нам хочется...
7) Золотое правило - всегда отключай WPS
Wi-Fi Protected Setup(WPS) - это технология аппаратного подключения к сети, которая работает по упрощенному принципу подключения к сети WiFi. Она имеет достаточно много уязвимостей, поэтому лучше отказаться от ее использования. То есть когда вы одним нажатием кнопки на роутере автоматом подключаетесь к нему. Ни в коем случае не оставляйте эту функцию включенной.
8) Пароль и шифрование к WiFi
Лучше всего использовать WPA2-Personak как минимум, никаких WPA, только WPA2. Шифрование всегда лучше AES. Пароль сложный, на листочке сделайте себе отдельно, желательно 15 знаков и разные символы.
9) iPv6 лучше выключить
10) Отключите различные говняхи вроде Smart Access, Smart Sync и прочие разочарования жизни, вам с легкостью даже скрипт-кидди сделают дабл пенетрэйшон в роутер
11) Отключите доступ из WAN и Ping (чтобы вы не пинговался) и минимум поставьте DNS от Cloudflare (иногда провайдер не позволяет этого сделать, так как соединение идет через их VPN сервер)
11) Можете включить Брандмауэр, защиту от DDOS, настроить iptables если нужно
11) VPN свой лучше не юзать, TOR на роутере не делать, так как это вызовет подозрение у СОРМ. Вам нужны проблемы?
Таким образом, мы смогли обеспчить достойную безопасность нашему роутеру. Конечно, не стоит забывать, о двух вещах. Во-первых, практически все модемы имеют кнопку сбрасывания настроек. Поэтому, лучше размещать роутер в месте, где нет физического доступа других пользователей. Во-вторых, если вы скачаете файл и запустите файл с эксплоитом у себя на компьютере, тогда толку от защиты нет. Так как злоумышленник получит доступ ко всем вашим данным. Поэтому, стоит внимательно проверять данные, которые вы скачиваете и открываете. Также если вы перешли дорогу боярам, их сподручные могут иметь приватные exploits для вашего роутера, в этом случае вам уже ничего не поможет.
Итог: 11 базовых настроеек необходимы на мой взгляд даже домохозяйкам и все должны знать такие простые вещи. Для профи лучше всего юзать кастомные и по возможности свободные прошивки, но это уже отдельная тема для разговора. Также лучше всего сделать управление админкой только по LAN, таким образом никто по протоколу wi-fi не сможет войти в админ панель, в большинстве роутеров такая настройка есть по умолчанию
Береги себя, юзер!
Данная статья создана исключительно для ознакомления и не призывает к действиям. Все материалы автора являются его больной фантазией и все совпадения с реальными событиями случайны
Сегодня решил написать статью про роутеры, часто в последнее время встречается информация про взломы роутеров. Как правило, люди не обеспокоены даже базовой настройкой и сразу после покупки настраивают лишь WAN раздел в роутере (для подключения к интернету через провайдера услуг: МТС, Билайн, Мегафон и прочее).
На мой взгляд, для каждого пользователя важно использовать защищенные устройства маршрутизации или роутеры. С помощью этих устройств происходит обмен пакетами между устройствами сети и провайдера на основе правил и таблиц маршрутизации. Получая доступ к роутеру можно получить различную информацию, которая может быть использована в разных целях. Например, это может быть информация об устройствах, посещаемых сайтах, куки, настройках и т.д. Для примера, сегодня покажу на одном из роутеров ASUS как сделать базовую настройку. Возьму популярную модельку RT-AC66U. Для остальных, не переживайте, всё будет практически тоже самое, только через другой интерфейс, так что внимательно прочтите до конца.
В зависимости от фирмы и модели админ панель может отличатся, но принцип настройки практически везде один и тот же. Настройка не занимает много времени, но сбережет вас от среднестатистического хакера-недоучки.
Итак, как можно получить доступ к роутеру?
Злоумышленники используют автоматические сканеры по определенным сетям. Сканеры устройств маршрутизации проводят сканирование по портам, которые традиционно занимают роутеры. Происходит сканирование на нахождения стандартных портов с определенными данными для входа. Если ваш роутер имеет стандартные настройки, то очень большая вероятность, что злоумышленник сможет получить доступ к вашим данным.
На примере одной из программ для сканирования было получено 48 успешных роутеров за 35 минут работы (не буду называть имя сканера, чтобы вы не начали сбручивать роутеры своих знакомых после этой статьи). Если учитывать, что в среднем роутер используют 3-4 устройства, то это достаточно большое количество пользователей.
Как минимизировать риски?
Для того, чтобы снизить шансы и минимизировать риск взлома необходимо проделать небольшой список действий. Кто-то говорит - первое, надо изменить стандартный IP-адрес для локального управления. Но на самом деле, с помощью сканирования злоумышленник быстро обнаружит ваш роутер в локалке и такая настройка ничего не даст. Лучше всего поменять порт для входа, расскажу чуть ниже.
Для начала, необходимо проверить адрес, на котором находиться админ панель роутера. Для этого нужно ввести в браузере адреса:
Как правило, для входа используется логин и пароль admin/admin. Бывает логин и пароль написан на обратной стороне роутера. Заходим в панель.
Что нужно сделать (для всех роутеров)?
1) Обновить прошивку до последней версии
2) Затем, нужно сменить пароль как показано ниже
Имя пользователя и пароль можно изменить в разделе «Системные инструменты»->«Пароль». К примеру я использую 2 роутера Netgear и Микротик, а там всё более заморочено. У вас возможно будут другие разделы
3) Меняем порт подключения на нестандартный
Я бы поставил на любой нестандартный от 20 000 до 50 000, выбирайте тот, который не занят. Метод проверки HTTPS. Можно к примеру 32941.
4) Можете вручную заморочиться и сделать белый список MAC адресов -только авторизованные смогут пользоваться интернетом (WAN)
Можно запретить доступ к средствам администрирования из вне. Для нашего роутера необходимо зайти в раздел «Безопасность»-«Локальное управление». В нашем случае можно указать MAC адреса компьютеров, которые будут иметь доступ к админ панели. Этот способ можно применять для открытых сетей с большим количеством участников.
5) Скрытый SSID выключить (я бы не советовал)
Есть такое мнение: Как правило, почти все WiFi сети имеют свое название. Это название и является SSID (Service Set Identifier). Это имя можно увидеть, сканируя сети вокруг. По умолчанию роутеры показывают имя всем желающим. Это позволит снизить количество разных атак, которые будут осуществляться на вашу сеть. Так как для реализации уязвимости нужно знать SSID.
На мой взгляд, бесполезная трата времени, современные pentesting tools или даже frameworks позволяют видеть скрытые точки доступа, кроме как лишних проблем ничего не даст.
6) Отключение DHCP сервера (на ваше усмотрение в зависимости от задач)
Протокол DHCP применяется для автоматического назначения IP-адреса, шлюза по умолчанию, DNS-сервера и т.д. В качестве транспорта данный протокол использует UDP, а это значит, что мы можем без особых проблем подменять все интересующие нас поля в сетевом пакете, начиная с канального уровня: MAC-адрес источника, IP-адрес источника, порты источника — то есть все, что нам хочется...
7) Золотое правило - всегда отключай WPS
Wi-Fi Protected Setup(WPS) - это технология аппаратного подключения к сети, которая работает по упрощенному принципу подключения к сети WiFi. Она имеет достаточно много уязвимостей, поэтому лучше отказаться от ее использования. То есть когда вы одним нажатием кнопки на роутере автоматом подключаетесь к нему. Ни в коем случае не оставляйте эту функцию включенной.
8) Пароль и шифрование к WiFi
Лучше всего использовать WPA2-Personak как минимум, никаких WPA, только WPA2. Шифрование всегда лучше AES. Пароль сложный, на листочке сделайте себе отдельно, желательно 15 знаков и разные символы.
9) iPv6 лучше выключить
10) Отключите различные говняхи вроде Smart Access, Smart Sync и прочие разочарования жизни, вам с легкостью даже скрипт-кидди сделают дабл пенетрэйшон в роутер
11) Отключите доступ из WAN и Ping (чтобы вы не пинговался) и минимум поставьте DNS от Cloudflare (иногда провайдер не позволяет этого сделать, так как соединение идет через их VPN сервер)
11) Можете включить Брандмауэр, защиту от DDOS, настроить iptables если нужно
11) VPN свой лучше не юзать, TOR на роутере не делать, так как это вызовет подозрение у СОРМ. Вам нужны проблемы?
Таким образом, мы смогли обеспчить достойную безопасность нашему роутеру. Конечно, не стоит забывать, о двух вещах. Во-первых, практически все модемы имеют кнопку сбрасывания настроек. Поэтому, лучше размещать роутер в месте, где нет физического доступа других пользователей. Во-вторых, если вы скачаете файл и запустите файл с эксплоитом у себя на компьютере, тогда толку от защиты нет. Так как злоумышленник получит доступ ко всем вашим данным. Поэтому, стоит внимательно проверять данные, которые вы скачиваете и открываете. Также если вы перешли дорогу боярам, их сподручные могут иметь приватные exploits для вашего роутера, в этом случае вам уже ничего не поможет.
Итог: 11 базовых настроеек необходимы на мой взгляд даже домохозяйкам и все должны знать такие простые вещи. Для профи лучше всего юзать кастомные и по возможности свободные прошивки, но это уже отдельная тема для разговора. Также лучше всего сделать управление админкой только по LAN, таким образом никто по протоколу wi-fi не сможет войти в админ панель, в большинстве роутеров такая настройка есть по умолчанию
Береги себя, юзер!
Данная статья создана исключительно для ознакомления и не призывает к действиям. Все материалы автора являются его больной фантазией и все совпадения с реальными событиями случайны
