Enamik koduklientide kasutatavaid WiFi-ruutereid ja võrgulüüsisid ei ole täiesti turvalised. Mõned on rünnakute suhtes nii haavatavad, et tuleks välja visata, ütles turvaekspert New Yorgis HOPE X häkkerite konverentsil.
- Parimad WiFi-ruuterid teie koju või väikesesse kontorisse
- Parim viirusetõrjetarkvara arvuti puhtana hoidmiseks
- Modem vs. ruuter: kuidas need erinevad ja mida nad teevad
- Kuidas pääseda juurde oma ruuteri seadetele
'Kui ruuterit müüakse [sini-kollase logoga tuntud elektroonikaketis], siis te ei taha seda osta,' ütles sõltumatu arvutikonsultant Michael Horowitz.
- Musta reede pakkumised: vaadake kõiki parimaid pakkumisi kohe!
'Kui teie ruuteri annab teile Interneti-teenuse pakkuja [ISP], ei taha te ka seda kasutada, sest nad annavad neist miljoneid ära ja see muudab need nii spiooniagentuuride kui ka pahalaste jaoks peamiseks sihtmärgiks, ' ta lisas
Horowitz soovitas turvateadlikel tarbijatel selle asemel üle minna väikeettevõtetele mõeldud kaubanduslikele ruuteritele või vähemalt eraldada oma modemid ja ruuterid kaheks eraldi seadmeks. (Paljud 'lüüsi' seadmed, mida sageli pakuvad Interneti-teenuse pakkujad, võivad toimida mõlemana.) Kui kumbki neist valikutest ebaõnnestus, esitas Horowitz nimekirja ettevaatusabinõudest, mida kasutajad võiksid võtta.
- TO ruuteri VPN võib olla parim viis WiFi-ühenduse kaitsmiseks kodus
Probleemid tarbijaruuteritega
Ruuterid on tänapäevase arvutivõrgu hädavajalikud, kuid mittekuuluvad tööhobused. Kuid vähesed kodukasutajad mõistavad, et ruuterid on tegelikult täieõiguslikud arvutid, millel on oma operatsioonisüsteemid, tarkvara ja haavatavused.
'Ruuter, mis on ohustatud, võib teie järele luurata,' ütles Horowitz, selgitades, et ründaja kontrolli all olev ruuter võib korraldada ründe keskel, muuta krüptimata andmeid või saata kasutaja kurjadele kaksikveebisaitidele, mis maskeeruvad sama sageli... kasutanud veebimeili või internetipangaportaale.
Paljud tarbijatele mõeldud koduväravad seadmed ei teavita kasutajaid püsivara värskenduste kättesaadavaks muutumisest, kuigi need värskendused on turvaaukude parandamiseks hädavajalikud, märkis Horowitz. Mõned muud seadmed ei aktsepteeri paroole, mis on pikemad kui 16 tähemärki – see on praegu paroolide ohutuse minimaalne pikkus.
Universaalne Pwn ja Play
Miljonitel ruuteritel kogu maailmas on Interneti-ühendusega portides lubatud UPnP (Universal Plug and Play) võrguprotokoll, mis seab need välisele rünnakule.
„UPnP on loodud kohtvõrkude (kohtvõrkude) jaoks ja seetõttu pole sellel turvalisust. Iseenesest pole see nii suur asi, ' ütles Horowitz.
Müüa elektrilised tõukerattad täiskasvanutele
Kuid ta lisas: 'UPnP Internetis on nagu operatsioonile minek ja arst vale jala kallal töötamine.'
Teine probleem on koduvõrgu haldusprotokoll (HNAP), haldustööriist, mida leidub mõnel vanemal tarbijatasemel ruuteril ja mis edastab ruuteri kohta tundlikku teavet veebis aadressil http://[ruuteri IP-aadress]/HNAP1/ ja annab täieliku teabe. juhtimine kaugkasutajatele, kes annavad administraatori kasutajanimesid ja paroole (mida paljud kasutajad ei muuda kunagi tehase vaikeseadetest).
2014. aastal kasutas ruuteriuss nimega TheMoon HNAP-protokolli, et tuvastada haavatavad Linksysi kaubamärgiga ruuterid, kuhu see võiks end levitada. (Linksys andis kiiresti välja püsivara paiga.)
'Niipea, kui koju jõuate, soovite seda kõigi oma ruuteritega teha,' ütles Horowitz tehnikahuvilisele. 'Minge aadressile /HNAP1/ ja loodetavasti ei saa te vastust, kui see on ainus hea asi.' Ausalt öeldes, kui saate vastuse, viskaksin ruuteri välja.
- Seadistamine a virtuaalne ruuter on ideaalne viis oma sidemete jagamiseks
WPS-i oht
Kõige hullem on Wi-Fi Protected Setup (WPS), hõlpsasti kasutatav funktsioon, mis võimaldab kasutajatel võrgu paroolist mööda minna ja ühendada seadmed WiFi-võrku lihtsalt ruuterile prinditud kaheksakohalise PIN-koodi sisestamisega. Isegi kui võrgu parooli või võrgu nime muudetakse, jääb PIN kehtima.
'See on tohutu ekspletiiv-kustutatud turvaprobleem,' ütles Horowitz. 'See kaheksakohaline number viib teid [ruuterisse], ükskõik mida. Nii et torumees tuleb teie majja, pöörab ruuteri ümber, teeb selle põhjast pildi ja saab nüüd igaveseks teie võrku saada.
Horowitz selgitas, et see kaheksakohaline PIN-kood pole tegelikult isegi kaheksakohaline. See on tegelikult seitse numbrit pluss viimane kontrollsumma number. Esimesed neli numbrit valideeritakse ühe jadana ja kolm viimast teisena, mille tulemuseks on vaid 11 000 võimalikku koodi 10 miljoni asemel.
'Kui WPS on aktiivne, saate ruuterisse siseneda,' ütles Horowitz. 'Peate lihtsalt tegema 11 000 oletust' – enamiku kaasaegsete arvutite ja nutitelefonide jaoks tühine ülesanne.
Seejärel on võrguport 32764, mille Prantsuse turvateadlane Eloi Vanderbeken avastas 2013. aastal, et see oli vaikselt lahti jäetud mitme suurema kaubamärgi müüdavatel lüüsiruuteritel.
Porti 32764 kasutades saab igaüks kohalikus võrgus, mis hõlmab ka kasutaja Interneti-teenuse pakkujat, võtta ruuteri üle täieliku administratiivse kontrolli ja isegi tehaseseadetele lähtestada ilma paroolita.
Port suleti enamikus mõjutatud seadmetes pärast Vanderbekeni avalikustamist, kuid hiljem leidis ta, et seda saab hõlpsasti uuesti avada spetsiaalselt loodud andmepaketiga, mille saab saata Interneti-teenuse pakkujalt.
'Seda teeb ilmselgelt spiooniagentuur, see on hämmastav,' ütles Horowitz. 'See oli tahtlik, selles pole kahtlust.'
- Kas tasuta VPN-id on riski väärt? Eksperdid ütlevad ei
- Mis on võrguruuter ja kas teil on seda vaja?
- Parimad WiFi-laiendid
Kuidas oma kodu ruuter lukustada
Horowitzi sõnul on esimene samm koduruuteri turvalisuse suunas veenduda, et ruuter ja kaabelmodem poleks üks seade. Paljud Interneti-teenuse pakkujad rendivad selliseid kaheotstarbelisi seadmeid klientidele, kuid neil klientidel on oma koduvõrkude üle vähe kontrolli. (Kui teil on vaja hankida oma modem, vaadake meie soovitusi parima kaabelmodemi kohta.)
'Kui teile antakse üksainus kast, mida enamik inimesi nimetab lüüsiks,' ütles Horowitz, 'teil peaks olema võimalik ühendust võtta Interneti-teenuse pakkujaga ja lasta neil kast tühjendada, et see toimiks lihtsalt modemina. Seejärel saate sellele lisada oma ruuteri.
Järgmiseks soovitas Horowitz klientidel osta madala kvaliteediga kommertskvaliteetse Wi-Fi/Etherneti ruuteri, näiteks Pepwave Surf SOHO , mille jaemüük on umbes 200 dollarit (ehkki olge hinnamõõtjad), mitte tarbijasõbralik ruuter, mis võib maksta vaid 20 dollarit.
Tõenäoliselt pole kommertsklassi ruuteritel UPnP või WPS lubatud. Horowitz märkis, et Pepwave pakub lisafunktsioone, näiteks püsivara tagasipööramist juhuks, kui püsivara värskendus läheb valesti. (Palju tipptasemel tarbijaruuterid , eriti need, mis on mõeldud mängijatele, pakuvad seda ka.)
Olenemata sellest, kas ruuter on kommerts- või tarbijakvaliteediga, saavad koduvõrgu administraatorid teha mitut lihtsat ja keerukat asja, et tagada nende ruuterite turvalisus.
Lihtsad parandused teie koduse juhtmevaba ruuteri jaoks
Muutke administraatori volitusi vaikimisi kasutajanimest ja paroolist. Need on esimesed asjad, mida ründaja proovib. Teie ruuteri kasutusjuhend peaks teile näitama, kuidas seda teha. Kui ei, siis googelda.
Muutke parool pikaks, tugevaks ja ainulaadseks ning ärge muutke seda WiFi-võrgule juurdepääsuks tavalise parooliga sarnaseks.
Muutke võrgu nime või SSID-d , alates 'Netgearist', 'Linksys'st' või millest iganes on vaikeseade millekski unikaalseks – kuid ärge andke sellele nime, mis teid identifitseeriks.
'Kui elate kortermajas 3G korteris, ärge nimetage oma SSID-d korteriks 3G,' ironiseeris Horowitz. 'Nimeta seda 'Korteriks 5F'.
Lülitage sisse automaatsed püsivara värskendused kui need on saadaval. Uuemad ruuterid, sealhulgas enamik võrgusilma ruutereid, värskendavad ruuteri püsivara automaatselt.
Lubage WPA2 traadita side krüpteerimine et teie võrku saaksid hüpata ainult volitatud kasutajad. Kui teie ruuter toetab ainult vana WEP-standardit, on aeg valida uus ruuter.
Lubage uus WPA3 krüpteerimisstandard kui ruuter seda toetab. 2021. aasta keskpaiga seisuga teevad seda aga ainult uusimad ruuterid ja kliendiseadmed (arvutid, mobiilseadmed, nutikodu seadmed).
Keela Wi-Fi Protected Setup , kui teie ruuter seda võimaldab.
Seadistage külalise WiFi-võrk ja pakkuda seda külastajatele, kui teie ruuteril on selline funktsioon. Võimalusel seadke külalisvõrk pärast määratud aja möödumist end välja lülituma.
'Saate oma külalisvõrgu sisse lülitada ja taimeri seada ning kolm tundi hiljem lülitub see ise välja,' ütles Horowitz. 'See on tõesti hea turvaelement.'
Kui teil on palju nutikaid kodu- või asjade Interneti-seadmeid , on tõenäoline, et paljud neist pole eriti turvalised. Ühendage need esmase võrgu asemel külalise WiFi-võrguga, et minimeerida asjade Interneti-seadme võimalikust kahjustamisest tulenevaid kahjusid.
Ärge kasutage pilvepõhist ruuterihaldust kui teie ruuteri tootja seda pakub. Selle asemel mõelge välja, kas saate selle funktsiooni välja lülitada.
'See on tõesti halb mõte,' ütles Horowitz. 'Kui teie ruuter seda pakub, siis ma ei teeks seda, sest nüüd usaldate teist inimest enda ja ruuteri vahele.'
Paljud võrguruuterisüsteemid, nt Nest Wifi ja Eero , on täielikult pilvest sõltuvad ja saavad kasutajaga suhelda ainult pilvepõhiste nutitelefonirakenduste kaudu.
Kuigi need mudelid pakuvad turvatäiustusi muudes valdkondades, näiteks automaatsete püsivara värskendustega, tasub otsida võrgutüüpi ruuterit, mis võimaldab kohalikku administraatorijuurdepääsu (nt Netgear Orbi).
Mõõdukalt keerulised koduruuteri parandused
Installige uus püsivara kui see kättesaadavaks saab. Nii paigaldavad ruuteritootjad turvapaigad. Kontrollimiseks logige regulaarselt sisse oma ruuteri haldusliidesesse – siin on lisateabe juhend .
Mõne kaubamärgi puhul peate võib-olla kontrollima püsivara versiooniuuendusi tootja veebisaidilt. Kui aga midagi läheb valesti, võtke käepärast varuruuter. Mõned ruuterid võimaldavad teil enne värskenduse installimist ka praeguse püsivara varundada.
Seadke oma ruuter kasutama 5 GHz sagedusala võimaluse korral WiFi jaoks standardsema 2,4 GHz sagedusala asemel – ja kui kõik teie seadmed on ühilduvad.
'5 GHz sagedusriba ei liigu nii kaugele kui 2,4 GHz sagedusriba,' ütles Horowitz. 'Nii et kui teie naabruses on mõni pahalane kvartali või paari kaugusel, võib ta näha teie 2,4 GHz võrku, kuid mitte näha teie 5 GHz võrku.'
Keela administraatori kaugjuurdepääs , ja keelata administraatorijuurdepääs Wi-Fi kaudu . Administraatorid peaksid ruuteritega ühendama ainult juhtmega Etherneti kaudu. (Jällegi, see pole paljude võrguruuteritega võimalik.)
Täiustatud ruuteri turvanõuanded tehnikatundlikele kasutajatele
Muutke administratiivse veebiliidese sätteid , kui teie ruuter seda lubab. Ideaalis peaks liides jõustama turvalise HTTPS-ühenduse mittestandardse pordi kaudu, nii et administraatorijuurdepääsu URL oleks standardsema asemel Horowitzi näitel umbes 'https://192.168.1.1:82'. 'http://192.168.1.1', mis vaikimisi kasutab Interneti-standardi porti 80.
Kasutage brauseri inkognito või privaatrežiimi administraatoriliidesele juurde pääsedes, nii et ülaltoodud sammus määratud uut URL-i ei salvestata brauseri ajalukku.
Keela PING, Telnet, SSH, UPnP ja HNAP , kui võimalik. Kõik need on kaugjuurdepääsuprotokollid. Selle asemel, et määrata nende asjakohased pordid olekusse 'suletud', määrake need olekuks 'varjamine', et ei antaks vastust soovimatule välissuhtlusele, mis võib tulla teie võrku uurivatelt ründajatelt.
'Igal ruuteril on võimalus PING-käskudele mitte vastata, ' ütles Horowitz. 'See on absoluutselt midagi, mida soovite sisse lülitada – suurepärane turvafunktsioon. See aitab sul varjata. Muidugi ei kavatse sa end varjata oma Interneti-teenuse pakkuja eest, vaid varjad end mõne Venemaa või Hiina mehe eest.
Ruuteri domeeninimesüsteemi (DNS) muutmine server ISP enda serverist OpenDNS-i (208.67.220.220, 208.67.222.222), Google Public DNS-i (8.8.8.8, 8.8.4.4) või Cloudflare'i (1.1.1.1, 1.0.0.1) haldatavasse serverisse.
Kui kasutate IPv6, on vastavad OpenDNS-i aadressid 2620:0:ccc::2 ja 2620:0:ccd::2, Google'i omad on 2001:4860:4860::8888 ja 2001:4860:4860:: 8844 ja Cloudflare'i omad on 2606:4700:4700::1111 ja 2606:4700:4700::1001.
Kasuta virtuaalne privaatvõrk (VPN) ruuter olemasoleva ruuteri täiendamiseks või asendamiseks ja kogu võrguliikluse krüpteerimiseks.
'Kui ma ütlen VPN-ruuterit, pean silmas ruuterit, mis võib olla VPN-i klient,' ütles Horowitz. Seejärel registreerute mõne VPN-i ettevõttega ja kõik, mida selle ruuteri kaudu saadate, läheb läbi nende võrgu. See on suurepärane viis oma tegevuse varjamiseks oma Interneti-teenuse pakkuja eest.
Paljusid kodusid WiFi-ruutereid saab 'välkutada', et käitada avatud lähtekoodiga püsivara, nt DD-WRT püsivara , mis omakorda toetab natiivselt OpenVPN-i protokolli. Enamik parim VPN teenused toetavad ka OpenVPN-i ja annavad juhiseid avatud lähtekoodiga ruuterite seadistamiseks nende kasutamiseks.
Lõpuks kasutage Gibson Research Corp.'i Shields Up'i pordi skaneerimise teenus aadressil https://www.grc.com/shieldsup . See testib teie ruuterit sadade levinud haavatavuste suhtes, millest enamikku saab ruuteri administraator leevendada.
[See lugu avaldati algselt juulis 2014 ja sellest ajast alates on seda värskendatud uue teabega.]
