Вай фай защита: Максимальная защита Wi-Fi сети и роутера от других пользователей и взлома

Максимальная защита Wi-Fi сети и роутера от других пользователей и взлома

Так сложилось, что многие несерьезно относятся к защите своей домашней Wi-Fi сети и самого маршрутизатора. В лучшем случае Wi-Fi сеть защищена каким-то паролем, а заводской пароль маршрутизатора изменен. Но и это бывает не всегда. Очень часто пользователи оставляют Wi-Fi сеть полностью открытой. По доброте душевной, или просто лень устанавливать, а потом еще и вводить этот пароль – я не знаю. Но это очень глупо.

Я думаю, что многие просто не понимают, чем может быть опасно подключение других пользователей, или что еще хуже – злоумышленников к их Wi-Fi сети. Вот представим, что у нас есть домашняя беспроводная сеть. Пускай она защищена паролем, или полностью открыта. Но путем взлома, или простого подключения (если сеть не защищена), к ней подключились другие пользователи. У этих пользователей скорее всего нет плохих намерений. Им не интересны наши личные файлы и у них нет цели нам как-то навредить.

Просто подключись к чужому Wi-Fi и пользуются интернетом.

Вроде ничего страшного, нам же не жалко. Но нужно понимать, что эти чужие устройства создают нагрузку на наш маршрутизатор. Он начинает медленно работать. Падает скорость соединения. А если они качают/раздают торренты? Или в онлайн игры играют? Это большая нагрузка на сеть и роутер. Он может вообще зависать, глючить и т. д. Но это еще пол беды. Если у нас настроена локальная сеть, открыт доступ к каким-то файлам на компьютере, то все кто подключен к вашему роутеру тоже могут получить доступ к вашим файлам. А это уже как минимум неприятно. А пароль администратора на маршрутизаторе вы сменили? Если нет, то у этих других пользователей есть доступ к настройкам роутера. И они вообще могут сменить/поставить пароль на Wi-Fi. На ваш Wi-Fi. И вам придется сбрасывать настройки роутера и все заново настраивать.

А ведь могут быть более серьезные проблемы. Особенно, когда из-за плохой защиты вашей беспроводной сети к ней получит доступ какой-то злоумышленник. Он, например, может совершать какие-то противоправные действия через ваше подключение. Например, размещать, или загружать какие-то запрещенные файлы. А отвечать за это скорее всего придется именно вам. Так же через маршрутизатор можно получить доступ к вашим устройствам и информации, которая на них храниться.

Разумеется, что любую Wi-Fi сеть можно взломать. И 100% защиты нет. Но вряд ли кто-то станет тратить время и силы на то, чтобы получить доступ к обычной домашней Wi-Fi сети. Если, конечно, вы не храните сверх секретную информацию и конкретно ваша беспроводная сеть не представляет особый интерес для злоумышленников. Поэтому, я всем рекомендую как минимум устанавливать хороший пароль на Wi-Fi и на сам маршрутизатор. Но кроме этого у меня есть еще несколько рекомендаций, которые позволят вам максимально защитить свою беспроводную сеть и маршрутизатор от других пользователей (в лице соседей, злоумышленников и т. д.) и взлома.

Для изменения настроек безопасности маршрутизатора необходимо зайти в его веб-интерфейс. Этот процесс (как и процесс смены других параметров) отличается в зависимости от производителя, модели, или прошивки роутера. Поэтому даю ссылку на универсальную инструкцию: как зайти в настройки роутера. Там есть вся необходимая информация.

Установите надежный пароль Wi-Fi сети

Ваша Wi-Fi сеть должна быть защищена паролем. Хорошим паролем. Никаких «11111111», «12345678», «qwertyui» и т. д. Не поленитесь придумать надежный пароль, в котором будут заглавные буквы, цифры и специальные знаки (~ ! @ # $ %  & * ). Так же не поленитесь записать этот пароль, чтобы потом в комментариях не спрашивать: а как узнать пароль от своего Wi-Fi?

Да, такие пароли не совсем удобно вводить при подключении устройств. Но так ли часто вы подключаете новые устройства? Думаю, что нет.

Настройки безопасности беспроводной сети – это не только пароль. Нужно в настройках выбрать современный и надежный тип безопасности и шифрования беспроводной сети. Если у вас нет желания смотреть отдельную статью на эту тему, то скажу, что лучше ставить WPA2 — Personal с шифрованием AES.

Если вы не знаете как установить, или сменить пароль на Wi-Fi на своем маршрутизаторе, то смотрите статью как защитить сеть Wi-Fi паролем. Если в статье вы не найдете инструкций для своего маршрутизатора, то воспользуйтесь поиском по сайту. Если и там ничего не найдете, то оставьте свой вопрос в комментариях. Только напишите модель. Я постараюсь подсказать, как и где можно поменять пароль на вашем устройстве.

Сюда еще хочу добавить, что желательно менять имя беспроводной сети (SSID). Придумайте какое-то оригинальное имя. Так вы не потеряете свою сеть среди других соседних сетей.

Защитите настройки маршрутизатора паролем

Этот пароль никак не относится к Wi-Fi. Он используется исключительно для защиты настроек роутера. Чтобы никто кроме вас не смог зайти в веб-интерфейс роутера и сменить там какие-то настройки. Как правило, устанавливается логин и пароль (иногда только пароль). На некоторых роутерах он установлен по умолчанию. Обычно используется admin/admin.

Если по умолчанию пароль не установлен, то в процессе первой настройки роутер предлагает установить его. Но это в любой момент можно сделать в панели управления.

После установки/смены пароль, его нужно будет вводить каждый раз, когда вы будете заходить в веб-интерфейс.

На эту тему я уже подготовил отдельную статью: как на роутере поменять пароль с admin на другой. Там я показывал, как установить пароль на роутерах ASUS, D-Link, TP-Link, ZyXEL.

Отключите функцию WPS

С помощью WPS можно быстро и без ввода пароля подключать устройства к беспроводной сети. Но как показывает практика, WPS мало кто пользуется. Можно найти много материалов, где написано о разных проблемах с безопасностью функции WPS. Поэтому, для защиты роутера от взлома, эту функцию лучше отключить.

Кроме этого, я замечал, что из-за WPS очень часто не удается подключить некоторые устройства к Wi-Fi, или настроить маршрутизатор в режиме моста.

Как работает WPS и как отключить его, я писал здесь: https://help-wifi.

com/sovety-po-nastrojke/chto-takoe-wps-na-wi-fi-routere-kak-polzovatsya-funkciej-wps/

Спрячьте Wi-Fi сеть от посторонних глаз

В настройках Wi-Fi сети на маршрутизаторе есть такая функция как «Скрыть SSID» (Hide SSID), или «Отключить широковещание SSID». После ее активации устройства перестанут видеть вашу Wi-Fi сеть. А чтобы к ней подключиться, нужно будет указать не только пароль, но и имя самой сети (SSID). А это дополнительная защита.

Эта настройка обычно находится в разделе с настройками беспроводной сети. Можете посмотреть, например, как сделать Wi-Fi сеть невидимой на роутерах TP-Link. После этого вам может пригодиться инструкция, в которой я показывал как подключиться к скрытой Wi-Fi сети.

Настройте фильтрацию по MAC-адресам

Не уверен, что эта функция есть в каждом маршрутизаторе, но думаю, что должна быть. MAC-адрес – уникальный адрес Wi-Fi адаптера (модуля). То есть, у каждого устройства он свой. В настройках роутера можно прописать MAC-адреса тех устройств, которые могут подключаться к вашей сети (создать белый список адресов). Если MAC-адреса устройства в списке нет – оно к сети не подключиться.

Это наверное самая эффективная защита маршрутизатора. Неудобство лишь в том, что при подключении новых устройств придется заходить в настройки роутера и прописывать их MAC-адреса.

Немного об этих настройках я рассказывал в статье как заблокировать устройство (Wi-Fi-клиента) на роутере по MAC-адресу. Только там я создавал черный список устройств (которым запрещено подключаться), а в нашем случае нужно создавать белый список MAC-адресов устройств (которым разрешено подключаться).

Дополнительные рекомендации

Еще несколько советов, которые помогут сделать ваш роутер еще более защищенным.

• Обновляйте прошивку маршрутиазтора. В новых версиях программного обеспечения могут быть улучшены не только какие-то функции, или стабильность работы, но и безопасность.
• Брандмауэр, Антивирус, Межсетевой экран, Защита DoS – все, или некоторые подобные функции присутствуют в современных маршрутизатора.
  Обычно, они включены по умолчанию. Не отключайте их без необходимости и не меняйте настройки.
• Удаленный доступ к роутеру – это управление роутером через интернет. Если вы не используете эту функцию, то ее лучше отключить.
• Время от времени меняйте пароль Wi-Fi сети.
• Проверяйте, нет ли чужих устройств в списке подключенных клиентов на вашем роутере. Как посмотреть: кто подключен к роутеру ASUS, кто подключен к роутеру D-Link, кто подключен к роутеру TP-Link.

Все эти базовые настройки помогут вам залатать основные «дыры» в безопасности вашего роутера и Wi-Fi сети, которую он раздает. Думаю, что для домашних Wi-Fi сетей этих рекомендаций более чем достаточно.

проникновение и защита. 1) Матчасть / Хабр

Синоптики предсказывают, что к 2016 году наступит второй ледниковый период трафик в беспроводных сетях на 10% превзойдёт трафик в проводном Ethernet. При этом от года в год частных точек доступа становится примерно на 20% больше.

При таком тренде не может не радовать то, что 80% владельцев сетей не меняют пароли доступа по умолчанию. В их число входят и сети компаний.

Этим циклом статей я хочу собрать воедино описания существующих технологии защит, их проблемы и способы обхода, таким образом, что в конце читатель сам сможет сказать, как сделать свою сеть непробиваемой, и даже наглядно продемонстрировать проблемы на примере незадачливого соседа (do not try this at home, kids). Практическая сторона взлома будет освещена с помощью Kali Linux (бывший Backtrack 5) в следующих частях.

Статья по мере написания выросла с 5 страниц до 40, поэтому я решил разбить её на части. Этот цикл — не просто инструкция, как нужно и не нужно делать, а подробное объяснение причин для этого. Ну, а кто хочет инструкций — они такие:

Используйте WPA2-PSK-CCMP с паролем от 12 символов a-z (2000+ лет перебора на ATI-кластере). Измените имя сети по умолчанию на нечто уникальное (защита от rainbow-таблиц). Отключите WPS (достаточно перебрать 10000 комбинаций PIN). Не полагайтесь на MAC-фильтрацию и скрытие SSID.

Оглавление:
1)

Матчасть

2)Kali. Скрытие SSID. MAC-фильтрация. WPS
3)WPA. OpenCL/CUDA. Статистика подбора

Но сначала — матчасть.

Передайте мне сахар

Представьте, что вы — устройство, которое принимает инструкции. К вам может подключиться каждый желающий и отдать любую команду. Всё хорошо, но на каком-то этапе потребовалось фильтровать личностей, которые могут вами управлять. Вот здесь и начинается самое интересное.

Как понять, кто может отдать команду, а кто нет? Первое, что приходит в голову — по паролю. Пусть каждый клиент перед тем, как передать новую команду, передаст некий пароль. Таким образом, вы будете выполнять только команды, которые сопровождались корректным паролем. Остальные — фтопку.

Именно так работает базовая авторизация HTTP (Auth Basic):

AuthType Basic
AuthName "My super secret zone!"
AuthUserFile /home/. htpasswd
Require valid-user 

После успешной авторизации браузер просто-напросто будет передавать определённый заголовок при каждом запросе в закрытую зону:

Authorization: Basic YWRtaW46cGFzcw==

То есть исходное:

echo -n 'admin:pass' | base64
# YWRtaW46cGFzcw==

У данного подхода есть один большой недостаток — так как пароль (или логин-пароль, что по сути просто две части того же пароля) передаётся по каналу «как есть» — кто угодно может встрять между вами и клиентом и получить ваш пароль на блюдечке. А затем использовать его и распоряжаться вами, как угодно!

Для предотвращения подобного безобразия можно прибегнуть к хитрости: использовать какой-либо двухсторонний алгоритм шифрования, где закрытым ключом будет как раз наш пароль, и явно его никогда не передавать. Однако проблемы это не решит — достаточно один раз узнать пароль и можно будет расшифровать любые данные, переданные в прошлом и будущем, плюс шифровать собственные и успешно маскироваться под клиента. А учитывая то, что пароль предназначен для человека, а люди склонны использовать далеко не весь набор из 256 байт в каждом символе, да и символов этих обычно около 6-8… в общем, комсомол не одобрит.

Что делать? А поступим так, как поступают настоящие конспираторы: при первом контакте придумаем длинную случайную строку (достаточно длинную, чтобы её нельзя было подобрать, пока светит это солнце), запомним её и все дальнейшие передаваемые данные будем шифровать с использованием этого «псевдонима» для настоящего пароля. А ещё периодически менять эту строку — тогда джедаи вообще не пройдут.

Первые две передачи (зелёные иконки на рисунке выше) — это фаза с «пожатием рук» (handshake), когда сначала мы говорим серверу о нашей легитимности, показывая правильный пароль, на что сервер нам отвечает случайной строкой, которую мы затем используем для шифрования и передачи любых данных.

Итак, для подбора ключа хакеру нужно будет либо найти уязвимость в алгоритме его генерации (как в случае с Dual_EC_DRBG), либо арендовать сотню-другую параллельных вселенных и несколько тысяч ATI-ферм для решения этой задачи при своей жизни. Всё это благодаря тому, что случайный ключ может быть любой длины и содержать любые коды из доступных 256, потому что пользователю-человеку никогда не придётся с ним работать.

Именно такая схема с временным ключом (сеансовый ключ, session key или ticket) в разных вариациях и используется сегодня во многих системах — в том числе SSL/TLS и стандартах защиты беспроводных сетей, о которых будет идти речь.

План атаки

Внимательные читатели, конечно, заметили, что как бы мы не хитрили — от передачи пароля и временного ключа в открытой или хэшированной форме нам никуда не деться. Как результат — достаточно хакеру перехватить передачу на этой фазе, и он сможет читать все последующие данные, а также участвовать в процессе, вставляя свои пять копеек. И отличить его невозможно, так как вся информация, которой бы мог руководствоваться сервер для выдачи временного ключа или проверки доступа базируется именно на том, что было в начале передачи — handshake. Поэтому хакер знает всё то же, что и сервер, и клиент, и может водить обоих за нос, пока не истечёт срок действия временного ключа.

Наша задача при взломе любой передачи так или иначе сводится к перехвату рукопожатия, из которого можно будет либо вытащить временный ключ, либо исходный пароль, либо и то, и другое. В целом, это довольно долгое занятие и требует определённой удачи.

Но это в идеальном мире…

Механизмы защиты Wi-Fi

Технологии создаются людьми и почти во всех из них есть ошибки, иногда достаточно критические, чтобы обойти любую самую хорошую в теории защиту. Ниже мы пробежимся по списку существующих механизмов защиты передачи данных по радиоканалу (то есть не затрагивая SSL, VPN и другие более высокоуровневые способы).

OPEN

OPEN — это отсутствие всякой защиты. Точка доступа и клиент никак не маскируют передачу данных. Почти любой беспроводной адаптер в любом ноутбуке с Linux может быть установлен в режим прослушки, когда вместо отбрасывания пакетов, предназначенных не ему, он будет их фиксировать и передавать в ОС, где их можно спокойно просматривать. Кто у нас там полез в Твиттер?

Именно по такому принципу работают проводные сети — в них нет встроенной защиты и «врезавшись» в неё или просто подключившись к хабу/свичу сетевой адаптер будет получать пакеты всех находящихся в этом сегменте сети устройств в открытом виде. Однако с беспроводной сетью «врезаться» можно из любого места — 10-20-50 метров и больше, причём расстояние зависит не только от мощности вашего передатчика, но и от длины антенны хакера. Поэтому открытая передача данных по беспроводной сети гораздо более опасна.

В этом цикле статей такой тип сети не рассматривается, так как взламывать тут нечего. Если вам нужно пользоваться открытой сетью в кафе или аэропорту — используйте VPN (избегая PPTP) и SSL (https://, но при этом поставьте HTTPS Everywhere, или параноидально следите, чтобы из адресной строки «внезапно» не исчез замок, если кто включит sslstrip — что, впрочем, переданных паролей уже не спасёт), и даже всё вместе. Тогда ваших котиков никто не увидит.

WEP

WEP — первый стандарт защиты Wi-Fi. Расшифровывается как Wired Equivalent Privacy («эквивалент защиты проводных сетей»), но на деле он даёт намного меньше защиты, чем эти самые проводные сети, так как имеет множество огрехов и взламывается множеством разных способов, что из-за расстояния, покрываемого передатчиком, делает данные более уязвимыми. Его нужно избегать почти так же, как и открытых сетей — безопасность он обеспечивает только на короткое время, спустя которое любую передачу можно полностью раскрыть вне зависимости от сложности пароля. Ситуация усугубляется тем, что пароли в WEP — это либо 40, либо 104 бита, что есть крайне короткая комбинация и подобрать её можно за секунды (это без учёта ошибок в самом шифровании).

WEP был придуман в конце 90-х, что его оправдывает, а вот тех, кто им до сих пор пользуется — нет. Я до сих пор на 10-20 WPA-сетей стабильно нахожу хотя бы одну WEP-сеть.

На практике существовало несколько алгоритмов шифровки передаваемых данных — Neesus, MD5, Apple — но все они так или иначе небезопасны. Особенно примечателен первый, эффективная длина которого — 21 бит (~5 символов).

Основная проблема WEP — в фундаментальной ошибке проектирования. Как было проиллюстрировано в начале — шифрование потока делается с помощью временного ключа. WEP фактически передаёт несколько байт этого самого ключа вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности ключа раскрыть любую передачу можно просто имея достаточное число перехваченных пакетов (несколько десятков тысяч, что довольно мало для активно использующейся сети).

К слову, в 2004 IEEE объявили WEP устаревшим из-за того, что стандарт «не выполнил поставленные перед собой цели [обеспечения безопасности беспроводных сетей]».

Про атаки на WEP будет сказано в третьей части. Скорее всего в этом цикле про WEP не будет, так как статьи и так получились очень большие, а распространённость WEP стабильно снижается. Кому надо — легко может найти руководства на других ресурсах.

WPA и WPA2

WPA — второе поколение, пришедшее на смену WEP. Расшифровывается как Wi-Fi Protected Access. Качественно иной уровень защиты благодаря принятию во внимание ошибок WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP).

Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP. Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP. TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не безопасен. Сейчас используется редко (хотя почему вообще ещё применяется — мне не понятно) и в целом использование WPA с TKIP почти то же, что и использование простого WEP.

Одна из занятных особенностей TKIP — в возможности так называемой Michael-атаки. Для быстрого залатывания некоторых особо критичных дыр в WEP в TKIP было введено правило, что точка доступа обязана блокировать все коммуникации через себя (то есть «засыпать») на 60 секунд, если обнаруживается атака на подбор ключа (описана во второй части). Michael-атака — простая передача «испорченных» пакетов для полного отключения всей сети. Причём в отличии от обычного DDoS тут достаточно всего двух (двух) пакетов для гарантированного выведения сети из строя на одну минуту.

WPA отличается от WEP и тем, что шифрует данные каждого клиента по отдельности. После рукопожатия генерируется временный ключ — PTK — который используется для кодирования передачи этого клиента, но никакого другого. Поэтому даже если вы проникли в сеть, то прочитать пакеты других клиентов вы сможете только, когда перехватите их рукопожатия — каждого по отдельности. Демонстрация этого с помощью Wireshark будет в третьей части.

Кроме разных алгоритмов шифрования, WPA(2) поддерживают два разных режима начальной аутентификации (проверки пароля для доступа клиента к сети) — PSK и Enterprise. PSK (иногда его называют WPA Personal) — вход по единому паролю, который вводит клиент при подключении. Это просто и удобно, но в случае больших компаний может быть проблемой — допустим, у вас ушёл сотрудник и чтобы он не мог больше получить доступ к сети приходится применять способ из «Людей в чёрном» менять пароль для всей сети и уведомлять об этом других сотрудников. Enterprise снимает эту проблему благодаря наличию множества ключей, хранящихся на отдельном сервере — RADIUS. Кроме того, Enterprise стандартизирует сам процесс аутентификации в протоколе EAP (Extensible Authentication Protocol), что позволяет написать собственный велосипед алгоритм. Короче, одни плюшки для больших дядей.

В этом цикле будет подробно разобрана атака на WPA(2)-PSK, так как Enterprise — это совсем другая история, так как используется только в больших компаниях.

WPS/QSS

WPS, он же Qikk aSS QSS — интересная технология, которая позволяет нам вообще не думать о пароле, а просто добавить воды нажать на кнопку и тут же подключиться к сети. По сути это «легальный» метод обхода защиты по паролю вообще, но удивительно то, что он получил широкое распространение при очень серьёзном просчёте в самой системе допуска — это спустя годы после печального опыта с WEP.

WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.

Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая.

Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты. Даже больше — временное отключение кардинально ничего не меняет, так как при одной попытке входа в минуту нам понадобится всего 10000/60/24 = 6,94 дней. А PIN обычно отыскивается раньше, чем проходится весь цикл.

Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите этот бекдор выключенным.

Атака на WPS будет рассмотрена во второй части.

p.s: так как тема очень обширная, в материал могли закрасться ошибки и неточности. Вместо криков «автор ничего не понимает» лучше использовать комментарии и ЛС. Это будет только приветствоваться.

Оглавление:
1) Матчасть
2) Kali. Скрытие SSID. MAC-фильтрация. WPS
3) WPA. OpenCL/CUDA. Статистика подбора

17 способов защитить домашнюю WiFi-сеть

Почему защита домашнего Wi-Fi так важна? Разве его небезопасно использовать?

Зависит от обстоятельств. Проблемы безопасности или кибератаки могут никогда вас не коснуться, и вы не станете жертвой киберпреступников из-за слабой защиты вашей точки доступа Wi-Fi. Но если это произойдёт, они смогут перехватить ваш трафик по Wi-Fi и завладеть вашими конфиденциальными финансовыми и личными данными.

А это может случиться с каждым. Миллионы сетей Wi-Fi подвергаются риску взлома. И, как описано в этой статье, взломать домашнюю сеть Wi-Fi не так уж и сложно.

Чтобы избежать этого, лучше принять надлежащие меры. Но не беспокойтесь, поскольку вам не нужно искать информацию на эту тему и читать кучу статей и электронных книг. Мы подготовили всю необходимую информацию в этой статье.

Вот как можно защитить домашний Wi-Fi:

1. Измените идентификатор SSID вашей сети

Идентификатор SSID (Service Set Identifier – идентификатор набора служб) — это, по сути, имя вашей точки доступа Wi-Fi. По умолчанию, идентификатор SSID вашего роутера будет одним из следующих:

• Фирменное название и/или модель роутера, если вы приобрели роутер непосредственно у производителя.
• Имя вашего интернет-провайдера, если вы приобрели роутер у него.

Если имя сети совпадает с моделью роутера, это может представлять угрозу для безопасности. Почему? Потому что хакер может увидеть идентификатор SSID и просто посмотреть руководство по эксплуатации роутера в Интернете. Если вы не изменили присвоенные по умолчанию данные авторизации (которые мы обсудим в следующей подсказке), злоумышленник может найти эту информацию в руководстве по эксплуатации и использовать её для взлома вашего роутера.

Если идентификатор SSID сети — это имя вашего интернет-провайдера, это не так плохо, но всё же опасно. Очень опытный хакер может использовать эту информацию для отправки фишинговых атак вашему провайдеру с целью завладеть вашей конфиденциальной информацией. Конечно, это случается не так часто, но риск всегда есть.

Поэтому лучше всего просто переименовать свою сеть Wi-Fi. Не нужно придумывать что-то слишком причудливое — никаких настоящих имён и адресов или любых шуток или ссылок, которые могли бы указать на вас. Просто абстрактное, неприметное название.

2. Не используйте присвоенные по умолчанию пароль и имя пользователя

Практически у каждого роутера имеется пароль и логин, присвоенные по умолчанию. Это позволяет владельцам роутеров легко получить доступ к управлению роутером, но это также облегчает хакерам задачу по взлому роутера. Просто представьте — какой-нибудь киберпреступник просто скачал с Интернета руководство по эксплуатации определённго роутера в PDF и использовал предоставленные в нём данные для входа.

Пугает, не правда ли?

Именно поэтому вам нужно изменить имя пользователя и пароль — прямо сейчас, если это возможно. Если вы не знаете, как придумать надёжные пароли, вы можете использовать наше специальное руководство. Также там есть информация про безопасные логины. Вот основные тезисы:

• Используйте пробелы, если это возможно.
• Не используйте словарные слова. Если вы используете настоящие слова, просто напишите буквы в них в обратном порядке.
• Чередуйте прописные и строчные буквы, цифры и символы.
• Придумайте пароль и имя пользователя, состоящие минимум из 15 символов.
• Избегайте очевидных замен (например, «$» вместо «s»).
• В крайнем случае имя пользователя и пароль могут быть аббревиатурами фразы («YutvtWHe2y «для «You used to visit the White House every 2 years.»).

И обязательно регулярно меняйте пароль и имя пользователя. Неплохо было бы менять пароль и имя пользователя каждые пару месяцев, но лучше менять их каждый месяц или каждую неделю, что намного безопаснее.

Кроме того, если у вас несколько роутеров, лучше использовать диспетчер паролей (например, KeePass, KeePassXC, LessPass или Bitwarden), чтобы вам было проще запомнить их. Если у вас только один пароль, вы можете просто записать его в блокнот, который нужно хранить в недоступном месте или сейфе.

3. Не давайте никому свой пароль от Wi-Fi

Можно делиться своим паролем от Wi-Fi со своими детьми или близкими друзьями, но не нужно давать его каждому, кто приходит в ваш дом. Например, не рекомендуется давать пароль от Wi-fi своему коллеге по работе, которого вы не очень хорошо знаете, если он зашёл, чтобы забрать документы или помыть руки. То же самое относится и к приходящим на дом продавцам, сантехникам, садовникам или электрикам тоже. Ваш дом — не гостиница и не ресторан, в конце концов, поэтому пусть пользуются своим мобильным Интернетом.

Тем не менее, хорошим решением в этом случае является настройка гостевой сети. Таким образом, вы можете предложить своим гостям доступ к Wi-fi, и вам не придётся беспокоиться о конфиденциальности вашей основной сети (и любых подключённых к ней устройств).

4. Используйте на своём роутере шифрование WPA2

Шифрование Wi-Fi гарантирует, что нежелательные пользователи будут иметь ограниченный доступ к вашему Wi-Fi и ко всем связанным с ним данным. У роутера может быть шифрование WEP, WPA и WPA2. В идеале лучше не использовать шифрование WEP и WPA, потому что они значительно устарели и могут быть с лёгкостью взломаны киберпреступниками .

Поэтому, проверяйте, работает ли на вашем роутере WPA2. Если на нём работает WEP или WPA, переключитесь на WPA2 как можно скорее.

Но безопасность заключается не только в WPA2. Хотя использовать WPA2 намного безопаснее, чем WPA и WEP, у WPA2 тоже есть уязвимость — атака KRACK (Атака с переустановкой ключа). Хотя эта уязвимость была обнаружена добрыми хакерами, ничто не мешает злоумышленникам использовать этот метод, чтобы взломать шифрование WPA2 на вашем роутере.

Рекомендуется регулярно обновлять прошивку, но и это не гарантирует полной защиты от кибератаки KRACK. К счастью, наконец-то будет выпущено шифрование WPA3, которое сможет закрыть эту уязвимость. До тех пор, пока он не станет доступным всем, соблюдайте остальные методы безопасности, о которых мы рассказывали в этой статье, вместе с использованием шифрования WPA2.

5. Настройте подключение к VPN на своём роутере

VPN (Virtual Private Network) — это онлайн-сервис, который вы можете использовать для скрытия вашего реального IP-адреса посредством шифрования интернет-соединения. Это отличный Сервис при использовании общедоступного Wi-Fi, потому как он гарантирует, что никто не может контролировать то, что вы делаете в Интернете.

Мало кто знает, но вы также можете использовать VPN на своём роутере прямо у себя дома. Правда, не все роутеры изначально поддерживают VPN, но надёжный VPN-Сервис может помочь вам настроить его на роутере. Таким образом, все устройства, использующие вашу домашнюю сеть Wi-Fi, получат возможность использовать функции VPN. То есть весь ваш трафик Wi-Fi будет на 100% зашифрован благодаря VPN.

В этом случае вам даже не нужно беспокоиться о том, что киберпреступник может взломать ваше шифрование, потому что шифрование VPN обеспечит дополнительную защиту. Более того, VPN на роутере защитит вас от взлома WiFi-сети (когда кто-то использует ваш Wi-Fi без разрешения — часто в незаконных целях).

Ищете надёжный VPN-Сервис?

Тогда у нас для вас есть отличное предложение. CactusVPN предлагает высококачественные VPN-услуги, среди которых шифрование на военном уровне, круглосуточная поддержку, функция Kill Switch, более 30 высокоскоростных серверов с неограниченной пропускной способностью, а также до шести VPN-протоколов на выбор. Более того, мы не записываем ваши данные, и наш Сервис работает на нескольких платформах.

И если вы захотите попробовать другие способы разблокировки веб-сайтов, мы также предлагаем услугу Smart DNS, которая открывает доступ к более 300 сайтов. Кроме всего прочего, все наши VPN-серверы дополняются прокси-серверами.

Специальное предложение! Получите CactusVPN за 3.5$ в месяц!

И как только вы станете клиентом CactusVPN, у вас будет 30-дневная гарантия возврата денег.

Сэкономьте 64% сейчас

6.

Не оставляйте Wi-Fi сеть включённой, когда не пользуетесь ей 

Один из способов снизить риск взлома вашей сети Wi-Fi — просто отключать её, когда она вам не нужна. Вам ведь не нужен роутер, когда вы на работе, в отпуске или спите? Лучше выключить его в таких ситуациях, чтобы не дать хакерам возможность взломать вашу сеть, пока вы находитесь вдали от дома или спите.

Кроме того, помимо дополнительной защиты, выключение роутера на период, пока вы находитесь вне дома, защитит его от случайных перепадов электроэнергии, поможет вам немного сэкономить на электричестве, а также защитить окружающую среду.

7. Разместите роутер в центре дома

«Действительно ли так важно, где стоит мой роутер?»

Да, это важно. И дело не только в том, чтобы Wi-fi хорошо работал во всех комнатах. А в том, чтобы посторонние не имели доступа к сигналу вашего Wi-Fi.

Если вы разместите роутер близко к окну, часть его сигнала уйдёт наружу, и прохожие смогут поймать его на своих мобильных устройствах. В то же время, если роутер стоит слишком близко к стене, то высока вероятность, что ваш сосед может поймать сигнал вашего Wi-Fi.

Вот почему стоит разместить роутер в центре дома. Это гарантирует, что посторонние люди не будут иметь возможности использовать ваш сигнал Wi-Fi. Вы даже можете попробовать проверить диапазон сигнала, пройдясь возле своего дома с телефоном в руке, чтобы увидеть, обнаруживает ли он сигнал вашего Wi-Fi.

К сожалению, этот способ не будет слишком эффективным, если вы живёте в многоквартирном доме, так как ваши соседи сверху или снизу могут поймать сигнал вашего роутера независимо от того, где вы его разместите в квартире. Этот способ работает эффективнее, когда вы живёте в частном доме.

8. Отключите удалённый доступ как можно быстрее

Удалённый доступ иногда очень удобен, так как он позволяет управлять роутером через Интернет без использования устройства, подключённого к домашней сети Wi-Fi. Это отличный способ решить проблемы или изменить настройки, если вы не дома, а у ваших детей отключился Интернет, например.

Однако удалённый доступ также имеет свои недостатки. Если вы можете использовать Интернет для удалённого доступа к роутеру, то и опытный хакер тоже сможет. Вам точно не захочется, чтобы хакер взломал вашу учётную запись и использовал вашу сеть, чтобы завладеть конфиденциальными данными.

Поэтому отключите эту функцию, если она включена.

9. Установите защиту от вирусов и вредоносных программ для своего Wi-Fi

Да, сервисы для защиты от вредоносных программ и вирусов для роутеров на самом деле существуют. Возможность их настройки полностью зависит от марки роутера. Это дополнительная мера для защиты домашнего Wi-Fi. Вредоносные атаки ранее были нацелены на роутеры, так что не стоит недооценивать риски.

Защита от вредоносных программ и вирусов для Wi-Fi может быть как в программном, так и в аппаратном форматах. Вот некоторые из лучших решений для защиты роутеров, сети и подключённых к ней устройств:

10. Убедитесь, что фаервол роутера включён

Большинство роутеров имеют встроенный фаервол. Чтобы проверить, включен ли он, просто откройте консоль роутера и проверьте вкладку по безопасности. Если вы видите, что фаервол не включен, включите его. Фаервол – хороший способ дополнительной защиты для домашнего Wi-Fi, так как он может быть настроен для предотвращения использования вашей сети для вредоносного трафика.

Если ваш роутер не имеет встроенного фаервола, вы всегда можете приобрести аппаратный. Большинство сервисов, о которых мы упоминали выше, отлично работают.

11. Отключите UPnP (Universal Plug n Play)

UPnP на самом деле очень полезен для роутера, поскольку он позволяет ему взаимодействовать с веб-сайтом производителя для скачивания обновления и других файлов. UPnP – это протокол, который позволяет интеллектуальным устройствам подключаться к Интернету для получения интеллектуальных функций.

К сожалению, UPnP также могут легко использовать хакеры в собственных целях. Был случай, когда киберпреступникам удалось через UPnP добавить около 65 000 роутеров в ботнет для совершения различных преступлений, включая фишинг, мошенничество с кредитными картами, кражу учётных записей, накрутку кликов и распространение вредоносного ПО. Кроме того, UPnP также использовался и для других атак вредоносных программ.

Именно поэтому лучше отключить возможности и совместимость UPnP на роутере и смарт-устройствах. Чтобы вы могли использовать утилиты UPnP и на своих смарт-устройствах, сначала настройте UPnP и запустите его, а затем отключите.

12. Не используйте WPS (WiFi Protected Setup – стандарт безопасной настройки беспроводной сети)

WPS довольно удобен, так как предлагает альтернативные способы подключения к домашней сети Wi-Fi, чем просто ввод длинного пароля. Такие способы включают в себя:

• Ввод восьмизначного PIN-кода.
• Нажатие кнопки WPS на роутере.

Намного проще, да?

Это правда, но есть одна большая проблема – использование WPS довольно рискованно, и ставит безопасность вашего Wi-Fi под угрозу. Во-первых, восьмизначный PIN-код не является безопасным способом входа, поскольку восьмизначный пароль не очень безопасен. Восьмизначный PIN-код WPS легко может быть взломан, поскольку роутер проверяет первые четыре цифры и последние четыре цифры PIN-кода отдельно. PIN-код WPS может быть взломан примерно за один-два дня.

Что насчёт кнопки WPS? Использование этой кнопки намного безопаснее, чем использование PIN-кода, так как для завершения соединения вам нужно физически нажать на кнопку. Тем не менее, всегда есть риск, что злоумышленник (вор или случайный знакомый) может использовать кнопку WPS, если у него есть физический доступ к вашему роутеру. И тогда вашу сеть Wi-Fi легко можно будет взломать.

В общем, вы можете использовать кнопку WPS, только если вам действительно и крайне необходимо нужен этот метод подключения к Wi-Fi. Просто постарайтесь сделать так, чтобы к этой кнопке имели доступ только проверенные люди. Но если вы хотите быть на 100% уверены, что WPS не ставит под угрозу ваш Wi-Fi и данные, лучше просто отключить эту функцию.

13. Держите прошивку роутера в актуальном состоянии

В отличие от большинства устройств, обновление прошивки роутера не такой уж удобный процесс. Некоторые модели роутеров не поддерживают функции автоматического обновления, поэтому вам нужно делать это вручную по инструкции на сайте производителя. Что касается большинства роутеров, которые поддерживают автоматические обновления, то эту функцию обязательно нужно включить, так как по умолчанию она отключена.

Но это того стоит. Если вы не обновляете прошивку вашего роутера регулярно, то вы подвергаете себя всевозможным потенциальным киберугрозам. Например, благодаря обновлению прошивки можно исправить критические ошибки, которые позволяют хакерам получить доступ к вашему роутеру.

14. Используйте фильтрацию MAC-адресов

У многих роутеров есть опция «Фильтрация MAC-адресов» или «Фильтрация MAC». MAC означает контроллер доступа к среде, а MAC-адрес — уникальный идентификатор, присваиваемый устройству, которое может получить доступ к Интернету. Если включить фильтрацию MAC-адресов, то только устройства с утверждённым MAC-адресом могут подключаться к сети Wi-Fi.

Но имейте в виду, что фильтрация MAC-адресов никоим образом не гарантирует вам 100% безопасность сети Wi-Fi. Если киберпреступник имеет доступ к сетевому анализатору пакетов Wi-Fi, он может видеть MAC-адреса, разрешённые в вашей сети. Тогда ему останется только изменить MAC-адрес своего собственного устройства на допустимый адрес, и тогда он сможет обойти фильтрацию.

Фильтрация MAC в основном эффективна, когда вы хотите уберечь Wi-Fi от соседей, которые узнали ваш пароль от вас, ваших друзей или ваших детей.

15. Следите за портом 32764

Если вы не очень разбираетесь в портах, то это специальные номера, присваиваемые различным протоколам, которые определяют способ отправки и получения информации через Интернет. Номера портов работают как беспроводные каналы, а блокирование одного номера означает блокировку определённого протокола. Например, если вы блокируете порт 443, вы блокируете весь трафик HTTPS.

А вот порт 32764 очень проблемный. Почему? Всё очень просто — потому что он позволяет киберпреступникам отслеживать конфиденциальные данные и выполнять всевозможные команды. И что самое худшее — с 2014 года стало известно, что некоторые модели роутеров прослушиваются портом 32764.

Итак, иметь открытый порт — уже самое по себе достаточный риск безопасности, но если это ещё и открытый порт, который можно легко взломать — то это ещё опаснее. Хотя эта проблема была якобы исправлена, возможность обновления прошивки, по-видимому, вновь сделало открытие этого порта возможным.

Есть информация, что эта проблема в основном касается роутеров SerComm. Уже лучше. Тогда нужно просто избегать роутеров SerComm, и всё должно быть хорошо, верно?

Не совсем. Основная проблема заключается в том, что компания SerComm производит и поставляет роутеры другим компаниям, таким как Cisco, Linksys, Netgear и Diamond. Рекомендуем проверить не входит ли марка вашего роутера в этот список.

Процесс прослушивания портов может быть активирован только внутри сети, но мы всё же советуем воспользоваться этой ссылкой и проверить, открыт ли порт у вашего роутера. Если порт открыт, то вам нужно как можно скорее связаться с поставщиком роутера и попросить его о помощи. Обычно поставщики могут решить эту проблему (например, при помощи патча). Если же поставщик вашего роутера не может решить вашу проблему, лучше всего обратиться в другую компанию и приобрести у неё более безопасный роутер.

К сожалению, если вы просто закроете порт, это не решит проблему. Он уже был открыт один раз, поэтому его можно открыть снова.

16. Скройте SSID вашей сети

Если у вас есть домашняя сеть Wi-Fi, не нужно раздавать её кому попало. Лучше всего отключить отображение SSID, чтобы оно не привлекало внимания киберпреступников. Это также поможет вам избежать необходимости отказывать вашим гостям в подключении к вашему Wi-Fi, так как они просто увидят «Скрытую сеть» или вообще ничего не увидят в своём списке доступных сетей Wi-Fi.

Конечно, если вы покупаете новое устройство, могут возникнуть трудности с его подключением к вашей сети. Но вы можете легко решить эту проблему, просто включив вещание SSID для подключения нового устройства, а затем снова отключив его. Не волнуйтесь — ранее подключённые устройства не будут иметь проблем с повторным подключением, даже если сеть будет скрыта.

17. И последнее — защитите устройства, которые всегда подключены к вашему Wi-Fi

Нет смысла защищать домашний Wi-Fi, если при этом не защищать устройства, которые постоянно подключены к вашей сети. Например, ноутбук или мобильный телефон. Если их взломают, а вы подключаете их к своей сети Wi-Fi, то её тоже могут взломать.

Чтобы убедиться, что большинство ваших устройств защищено, сделайте следующее:

• Установите антивирусные программы на все устройства, которые можете.
• Установите VPN на остальные устройства, даже если у вас включен VPN на роутере.
• Не позволяйте малознакомым людям вставлять USB-накопители в ваш компьютер или ноутбук.
• Старайтесь, чтобы все операционные системы и программы безопасности регулярно обновлялись.
• Установите ежедневное сканирование безопасности.
• Не открывайте сомнительные письма, используйте блокировщики скриптов в своих браузерах (uMatrix и uBlock Origin) и используйте антифишинговые расширения.

И поскольку вы не можете защитить устройства своих гостей, это ещё одна веская причина настроить для них гостевую сеть Wi-Fi, чтобы не было риска случайного заражения вашей основной сети каким-либо вредоносным ПО.

Как обеспечить безопасность Wi-Fi дома — вся суть

Домашняя сеть Wi-Fi — одна из самых удобных технологических разработок последних десятилетий. К сожалению, она не идеальна и имеет много уязвимостей. Поэтому, если вы хотите узнать, как защитить свой домашний Wi-Fi, вот что вы должны сделать:

• Включите фаервол на роутере. Если у него нет встроенного фаервола, установите аппаратный.
• Повысьте безопасность вашей сети с помощью антивируса и защиты от вредоносных программ.
• Настройте VPN на роутере для шифрования.
• Включите шифрование WPA2 на роутере, но имейте в виду, что это не на 100% безопасно.
• Поменяйте идентификатор SSID вашей сети, а также логин и пароль для входа в консоль управления роутера. Кроме того, по возможности отключите отображение SSID.
• Никому не давайте свой пароль от Wi-Fi. Вместо этого настройте гостевую сеть.
• Отключите WPS, UPnP, удалённый доступ и включите фильтрацию MAC-адресов во время использования Wi-fi.
• Убедитесь, что роутер не прослушивает порт 32764.
• Регулярно обновляйте прошивку роутера.
• Убедитесь, что все устройства, используемые для регулярного подключения к Wi-Fi, защищены.
• Разместите роутер в середине вашего дома, чтобы его сигнал не выходил за пределы вашего дома или квартиры.
• Если вы не используете Wi-Fi (например, когда вы спите, находитесь на работе или в отпуске), отключите её.

Как защитить от взлома корпоративные сети Wi-Fi

Сети стандарта 802.11 широко используются как дома, так и в корпоративных сетях за счет своего удобства. Однако они являются уязвимыми к взлому, поэтому необходимо понимать, каких настроек безопасности хватит для домашнего использования и как защищаться в корпоративной среде.

 

 

 

 

 

1. Введение
2. О дефолтной защите Wi-Fi
3. Атаки на Wi-Fi глазами вардрайвера
4. Атака на WPS
5. Перехват headshake
6. Evil Twin
7. Итог взлома
8. Взлом дополнительной защиты
9. Безопасности WI-FI в корпоративной среде
10. Выводы

 

Введение

Считается, что безопасность и удобство лежат на разных чашах одних весов. То же самое и относится к сети Wi-Fi: удобно, но не очень безопасно. Уповая на ограниченный радиус действия этой технологии или от недостатка знаний часто специалисты информационной безопасности или системные администраторы не проявляют должной осмотрительности в этом направлении. А ведь такая точка доступа — это дверь в корпоративную сеть и лакомый кусочек для хакеров.

Хакеров, которые профессионально занимаются взломом сетей Wi-Fi, называют вардрайверы. Это целая субкультура, у которой есть свои форумы в подпольных уголках интернета и хорошие знания данной технологии. А потому необходимо знать, как происходит взлом сети, и постараться защитить свою беспроводную сеть так, чтобы ее взлом становился нецелесообразным по времени и трудозатратам.

 

О дефолтной защите Wi-Fi

На данный момент самым популярным методом защиты и шифрования трафика Wi-Fi является WPA2 (Wi-Fi Protected Access v.2).

WPA3 уже появилась, но еще толком не введена в эксплуатацию, хотя уже и была взломана хакерами атакой DragonBlood. Эта атака не очень сложная в воспроизведении, и за счет манипуляций с таймингами и побочным кешем позволяет узнать пароль от Wi-Fi. Поэтому самой безопасной все же остается WPA2, которой и рекомендуется пользоваться на сегодняшний день.

Сама же WPA2 бывает двух видов: PSK (Pre-Shared Key) и Enterprise. PSK использует для авторизации пароль (минимум 8 знаков) и применяется в основном в домашних условиях или небольших офисах. Enterprise же в свою очередь использует авторизацию с дополнительным сервером (как правило, RADIUS).

Также стоит упомянуть технологию WPS (Wi-Fi Protected Setup). Это упрощенный метод авторизации устройств с точкой доступа Wi-Fi, основанный на PIN-коде. Но, как уже было сказано — чем удобнее, тем менее безопасно, поэтому эту функцию рекомендуется отключать, если в ней нет крайней необходимости.

 

Атаки на Wi-Fi глазами вардрайвера

Для взлома сети Wi-Fi из софта можно использовать практически любой дистрибутив Linux, собранный для тестирования на проникновение. Это может быть всем известные Kali Linux, Black Arch или Parrot. Также есть специально собранный под это дистрибутив WifiSlax. С точки зрения атаки на беспроводные сети эти дистрибутивы объединяет пропатченное ядро для корректной работы программы aircrack-ng.

Из железа необходимо иметь лишь Wi-Fi-карту, которая поддерживает режим мониторинга. Они обычно сделаны на базе чипа Atheros, моделей ar*.

 

Атака на WPS

Самый первый шаг взлома сети Wi-Fi — это сканирование на наличие включенной функции WPS. Это можно сделать с телефона на операционной системе Android. Программа WPSApp не только «видит» активный WPS. На борту есть небольшая база дефолтных pin-кодов нескольких производителей (его можно узнать по MAC-адресу), которые можно попробовать автоматически подобрать. И если хакер оказывается в уверенном приеме 2-3 точек доступа с включенным WPS, то через 10-20 минут при определенной доле везения он получит доступ к одной из них, не прибегая к помощи компьютера.

 

Рисунок 1. Интерфейс программы WPSApp

 

Если такой способ не увенчался успехом, все же придется воспользоваться ноутбуком.

Чтобы просканировать доступные точки доступа, необходимо перевести сетевую карту в режим мониторинга, для чего и нужен aircrack-ng.

airmon-ng start wlan0

После этого появится новый беспроводной интерфейс (как правило, wlan0mon). После этого можно узнать, на каких роутерах включен WPS:

wash –i wlan0mon

 

Рисунок 2. Результат программы wash

 

 

После этого хакер начинает атаковать цель. Атаки на WPS нацелены на получение PIN-кода для авторизации. Многие роутеры до сих пор подвержены атаке Pixie-Dust, которая в случае успеха выдает PIN-код и пароль за 5-15 секунд. Осуществляется такая атака программой reaver:

reaver -i wlan0mon -b 7C:8B:CA:4B:DF:CE -K

Если Pixie-Dust не смог взломать WPS, то можно его попробовать подобрать брутфорсом. Это осуществляется той же самой программой:

reaver -i wlan0mon -b 7C:8B:CA:4B:DF:CE -c 5 –v

 

Рисунок 3. Работа программы reaver

 

 

Такая атака занимает до 30 часов, если точка доступа не заблокирует запросы по таймауту. Защиту от таких атак пользователь настроить не может, она заложена в прошивке роутера. Поэтому необходимо обновлять программное обеспечение до новых версий.

 

Перехват headshake

Зачастую функция WPS на роутере все же выключена, поэтому взлом немного усложняется. Теоретически атака проходит так: при повторном подключении к точке доступа клиент передает так называемый headshake, в котором содержится хеш пароля. Хакеру необходимо прослушивать трафик этой сети и разорвать авторизованную сессию между клиентом и точкой доступа, тем самым заставить передать headshake. В момент передачи он перехватывается, и расшифровывается пароль методом атаки по словарю, или брутфорсом.

Практически это делается следующими командами:

airmon-ng start wlan0

airodump-ng wlan0mon

 

Рисунок 4. Мониторинг эфира Wi—Fi

 

 

Появятся все доступные точки доступа с уровнем сигнала, номером канала и другой полезной информацией. Далее выбираем точку доступа и запускаем мониторинг эфира:

airodump-ng -c 1 --bssid E8:94:F6:8A:5C:FA -w /root/wifi wlan0mon

Следующим шагом необходимо «отсоединить» клиентов от сканируемой точки доступа. Для этого, не прекращая сканирования, в новом терминале вводим команду:

aireplay-ng --deauth 1000 -a E8:94:F6:8A:5C:FA   wlan0mon

После этого остается ждать, когда клиенты начнут заново пытаться авторизоваться, и в терминале сканирования появится надпись, символизирующая успешный перехват «рукопожатия».

 

Рисунок 5. Перехват «рукопожатия»

 

Осталось взломать хеш пароля. Для этого есть много онлайн-сервисов в глобальной сети, либо, если позволяют вычислительные ресурсы, можно попробовать сделать это на локальном компьютере.  

hashcat -m 2500 /root/hs/out.hccap /root/rockyou.txt

Если все грамотно настроено, то перебор может достигать до 1 миллиона комбинаций в секунду.

 

Evil Twin

Существует еще один вид атаки, который основан не только на технических моментах, но и на социальной инженерии. Смысл его заключается в том, чтобы заглушить основную точку доступа, развернуть со своего компьютера точно такую же (тот же MAC-адрес, такой же SSID), и обманным путем заставить пользователя ввести пароль, который будет перехвачен. Но для этого необходимо находиться недалеко от клиента, чтобы прием был достаточно сильный.

Для этого приема изобретено достаточно много программ, которые автоматизируют процесс, например wifiphisher. После запуска и создания точки доступа клиент подключается к ней и пробует зайти на любой сайт. Его запрос перенаправляется на локальную страницу хакера, где есть поле для ввода пароля от сети. Оформление страницы зависит от навыков социальной инженерии. К примеру, просьба обновить программное обеспечение для роутера и необходимость ввести пароль от Wi-Fi — придумано может быть что угодно.

 

Итог взлома

Остается лишь сделать небольшую ремарку по данному материалу: приведенный пример охватывает лишь необходимый минимум настроек программ для совершения данной операции. На самом деле, для описания всех опций, методов и хитростей придется написать книгу.

Что касается ограниченного радиуса действия, то это тоже не проблема для хакеров. Существуют узконаправленные антенны, которые могут принимать сигнал издалека, несмотря на ограниченность модуля Wi-Fi-карты. Программными способами ее можно разогнать до 30 dBm.

 

Взлом дополнительной защиты

Существуют дополнительные меры защиты беспроводной сети. На сайте «Лаборатории Касперского» опубликованы рекомендации, как сделать сеть более безопасной, но это подойдет больше для сфер применения WPA2 PSK. И вот почему:

1. Какой бы сложный пароль для авторизации ни был, при использовании радужных таблиц и хороших вычислительных ресурсов расшифровка пароля не будет помехой.
2. При использовании скрытого имени сети его не видно только в штатном режиме работы карты. Если запустить режим мониторинга, то SSID виден.

Что касается фильтрации MAC-адресов, то на роутере есть функция, которая позволяет задать определенные адреса, тем самым разрешить подключение к сети. Остальные устройства будут отвергнуты. Эта дополнительная защита сама по себе предполагает наличие у злоумышленника пароля.

Но и эту защиту можно обойти. При мониторинге конкретной точки доступа видно MAC-адреса клиентов, которые подключены.

 

Рисунок 6. MAC-адрес клиента, подключенного к точке доступа

 

 

Меняем MAC-адрес нашего сетевого интерфейса программным путем:

 ifconfig wlan0 down

 macchanger -m 00:d0:70:00:20:69 wlan0

 ifconfig wlan0 up

 macchanger -s wlan0

После этого MAC-адрес будет как у уже подключенного клиента, а это значит, что ему разрешено подключение. Теперь посылаем пакеты деавторизации данного клиента:

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:d0:70:00:20:69  wlan0mon

В тот момент, когда устройство отключится от сети, у хакера будет возможность подключиться к ней.

Безусловно, все приведенные рекомендации влияют на защищенность сети, так как они ставят палки в колеса хакерам, и просто ради интернета он не будет так усложнять себе жизнь. Но если говорить о крупных компаниях, то приведенные выше примеры доказывают, что WPA PSK не способна предоставить соответствующей защиты.

 

Безопасности WI-FI в корпоративной среде

Выше упоминалась разница WPA2 PSK и Enterprise. Однако есть еще существенное различие между этими технологиями: PSK использует методы шифрования трафика на основе пароля. Однако хакерам удалось, используя атаку KRACK, расшифровывать трафик без пароля, что позволяет слушать эфир и перехватывать пакеты без авторизации в сети, что вызывает классическую MITM-атаку.

Enterprise использует шифрование трафика на основе внутреннего ключа и сертификата, который генерирует сервер авторизации. Используя эту технологию, каждый пользователь имеет свой логин и пароль от корпоративной сети Wi-Fi. Настройки осуществляются очень тонко: каждому пользователю можно предоставить или запретить те или иные ресурсы, вплоть до определения vlan, в котором будет находиться устройство клиента. Атака KRACK не способна расшифровать трафик WPA2 Enterprise.

Если резюмировать все нюансы, то при использовании PSK базовый минимум защиты — это максимально возможная защита роутера. А именно:

1. Отключение WPS.
2. Сложный пароль от 10 символов, включающий цифры, буквы и спецсимволы (желательно менять раз в квартал).
3. Ограничение всех MAC-адресов, кроме допустимых.
4. Скрытая SSID.
5. Ограничение Wi-Fi-сети от общей корпоративной сети функциями vlan.

При использовании Enterprise достаточно сложных паролей и нестандартных логинов для клиентов, плюс свой сертификат шифрования трафика. Брутфорс «на живую» будет не эффективен, так как проходить будет очень медленно, а расшифровать трафик, не имея ключа, не получится.

 

Выводы

В статье были рассмотрены способы взлома Wi-Fi, и доказано, что это не так уж сложно. Поэтому, если пользоваться PSK — то защита беспроводной сети должна быть на самом высоком уровне, чтобы хакер потерял интерес еще до того, как он ее взломает. Но это не решает проблемы, например, уволенных сотрудников, поэтому лучше пароль время от времени менять.

При использовании Enterprise взлом маловероятен, и уволенные сотрудники не страшны, так как можно их блокировать (у каждого своя, тонко настроенная учетная запись).

Для чего нужно шифрование сетей Wi-Fi

Вопрос безопасности локальных и беспроводных компьютерных сетей сегодня актуален как никогда. Технологии взлома компьютеров и кражи паролей становятся сильней. Поэтому противостоять угрозам приходится всеми доступными способами. Особенно важно защищать беспроводные сети Wi-Fi. Подключенный к незащищенной сети компьютер особенно уязвим. Также защита это вопрос безопасности и сохранности конфиденциальной информации. Пароль предназначен для ограничения третьим лицам доступа к подключению.

Существуют еще и различные типы шифрования пароля. Шифрование необходимо в первую очередь не только для того, чтобы вашим соединением не могли воспользоваться, но и не могли его взломать. Аутентификация является верным индикатором состояния и защищенности сети. Определив тип шифрования, можно узнать, какой из доступных сетей стоит доверять, а также в дальнейшем станет легче обеспечить домашнюю или корпоративную сеть Wi-Fi высоким уровнем защищенности.

Для чего требуется шифрование Wi-Fi

Даже самая простая аутентификация позволит избежать многих проблем. Защищать паролем необходимо любую точку доступа Wi-Fi, и выбор типа шифрования зависит уже от конкретных задач и важности уровня защищенности сети. Подключенные сторонние пользователи как минимум будут «съедать» ваш трафик, тормозить скорость интернета, как максимум – совершать противоправные действия с вашего роутера под вашим персональным адресом компьютера. То есть, к защищенности точки доступа следует подойти ответственно, поскольку за действия злоумышленника придется отвечать владельцу маршрутизатора и беспроводной сети Вай-Фай.

Во время настройки параметров настройки роутера система предлагает на выбор несколько вариантов шифрования: Open, WEP, WPA, WPA2-Personal, WPA2-Enterprise и WPA3. От того, как часто вы будете пользоваться интернетом, и что именно вы будете делать в сети, зависит и выбор наиболее предпочтительной аутентификации. При этом стоит учитывать, что старые роутеры могут предложить шифрование по устаревшим протоколам и новые по типу WPA2 они попросту не поддерживают. Если необходимо обеспечить себя, свой компьютер и маршрутизатор наивысшей защитой, придется сменить еще и маршрутизатор. Все дело в том, что безопасность сети менялась с течением времени. Изначально она была слабой, а спустя некоторое время стала уметь противостоять основным угрозам. Так беспроводные сети прошли путь шифрования от WEP к протоколу WPA3.

Open

Название говорит само за себя. Open – открытая сеть, нет никакой защиты. Тип шифрования отсутствует как класс, маршрутизатор не занимается никакой защитой канала, по которому идет передача данных. По такому принципу работают многие маршрутизатора, «врезавшись» в беспроводную сеть и подключившись к роутеру сетевой адаптер начнет получать пакеты данных от всех находящихся в ней устройств. Подключиться к беспроводной сети без шифрования можно в нескольких метрах от местонахождения маршрутизатора. Если это довольно мощный роутер, тогда расстояние, с которого возможно установка подключение, может составить 10-15 метров. Отсутствие аутентификации или попросту выставленное значение шифрования Open – открытый канал данных, что особенно опасно в корпоративных сетях, ибо этот самый канал доступен каждому.

WEP

Это один из первых типов шифрования. Появился он еще в конце 90-х годов и на тот момент отличался высокой защищенностью. Сегодня же WEP можно считать наиболее слабой защитой. Для многих современных роутеров протокол WEP вовсе исключен из списка доступных типов шифрования, поскольку сегодня есть более современные и надежные протоколы. Его следует избегать точно так же, как и OPEN, так как сегодня данный протокол не способен обеспечить защищенность сети.

WPA

Гораздо эффективней защита роутера и канала связи с шифрованием WPA. Здесь вместо ненадежного и уязвимого шифра RC4 используется шифрование AES. Величина пароля составляет от 8 до 63 бит. Данный протокол вполне рационально сегодня использовать и он способен создать нужный уровень защиты вашего роутера. Поскольку Wi-Fi Alliance создали более продвинутый и надежный протокол, необходимо было сохранить некоторые элементы от WEP с целью дальнейшей поддержки старых устройств. Поэтому этот протокол не является идеальным, поскольку в нем все еще присутствует функция WiFi Protected, которая относительно легко взламывается.

WPA2

Продолжением защиты WPA стала технология WPA2, появившаяся в 2004 году. На фоне предыдущего протокола отличается более высоким уровнем безопасности и простотой настройки. Главная особенность WPA2 заключается в использовании улучшенного стандарта шифрования Advanced Encryption Standard (AES) вместо TKIP. Сегодня AES доверяют защиту сверхсекретной информации на важных объектах. Поэтому его вполне можно использовать в бизнесе. Единственный недостаток WPA2 лишь в том, что подключенный к сети злоумышленник будет иметь возможность атаковать другие устройства из этой сети.

WPA3

В протоколы шифрования вносятся изменения и дополнения по мере обнаружения уязвимостей. В 2018 году был представлен современный и актуальный тип шифрования, получивший название WPA3. Новая версия получила продвинутые функции для повышения надежности и защиты сети. Для массового пользователя устройства, работающие по WPA3, не так распространены, поэтому это обновление только ожидается владельцами компьютеров и роутеров.

WPS/QSS

Тип шифрования WPS/QSS интересен тем, что освобождает пользователя от необходимости придумывать пароль. Достаточно всего нажать одну кнопку и сразу же будет установлено надежное соединение. Позволяет клиенту подключиться к точке доступа по 8-символьному коду, но в стандарте есть ошибка, которой нередко пользовались злоумышленники. Они могли устанавливать соединения с подбором всего четырех символов. В дальнейшем производитель установил ограничение на число попыток входа, но это не сделало данный тип шифрования безопасным.

Какой протокол выбрать

Исходя из вышесказанного, легко понять, что WPA – этот тот самый минимум, на который следует ориентироваться. Лучше всего, конечно, выбирать WPA 2 – более совершенная и актуальная защита. Если есть возможность установки шифрования WPA 3 – еще лучше. Но важно учитывать, что данное шифрование требует большей вычислительной мощности, поэтому соединение на старом устройстве будет далеко не самое оптимальное.

Настройка роутера

В завершении рассмотрим один из способов настройки маршрутизатора. Для примера возьмем роутер известной компании TP-Link:

1. Открываем браузер и вводим в адресной строке 192.168.1.1, после чего жмем Enter.
2. Вводим логин и пароль пользователя.
3. В левой колонке выбираем Wireless (Беспроводная связь) -> Wireless Settings (Настройки беспроводных сетей).
4. Ставим галочку в полях «Enable Wireless Router Radio» (» Включить беспроводной маршрутизатор «) и «Enable SSID Broadcast» (» Включить вещание SSID»).
5. Сохраняем настройки.
6. Теперь в левой колонке выбираем Wireless (Беспроводная связь) -> Wireless Security (Безопасность беспроводной сети), с правой стороны включаем опцию WPA — PSK / WPA 2- PSK.
7. Выбираем тип шифрования – AES, TKIP.
8. В  поле «Version» выбираем WPA — PSK или WPA 2- PSK.

Сохраняем настройки и перезагружаем роутер.

Безопасность Wi-Fi. Защита сети. Защита беспроводной сети. – MediaPure.Ru

Пароль и фильтрация по MAC-адресу должны защитить вас от взлома. На самом деле безопасность в большей степени зависит от вашей осмотрительности. Неподходящие методы защиты, незамысловатый пароль и легкомысленное отношение к посторонним пользователям в домашней сети дают злоумышленникам дополнительные возможности для атаки. Из этой статьи вы узнаете, как можно взломать WEP-пароль, почему следует отказаться от фильтров и как со всех сторон обезопасить свою беспроводную сеть.

Защита от незваных гостей

Ваша сеть не защищена, следовательно, рано или поздно к вашей беспроводной сети подсоединится посторонний пользователь — возможно даже не специально, ведь смартфоны и планшеты способны автоматически подключаться к незащищенным сетям. Если он просто откроет несколько сайтов, то, скорее всего, не случиться ничего страшного кроме расхода трафика. Ситуация осложнится, если через ваше интернет-подключение гость начнет загружать нелегальный контент.

Если вы еще не предприняли никаких мер безопасности, то зайдите в интерфейс роутера через браузер и измените данные доступа к сети. Адрес маршрутизатора, как правило, имеет вид: http://192.168.1.1. Если это не так, то вы сможете выяснить IP-адрес своего сетевого устройства через командную строку. В операционной системе Windows 7 щелкните по кнопке «Пуск» и задайте в строке поиска команду «cmd». Вызовите настройки сети командой «ipconfig» и найдите строку «Основной шлюз». Указанный IP — это адрес вашего роутера, который нужно ввести в адресной строке браузера. Расположение настроек безопасности маршрутизатора зависит от производителя. Как правило, они расположены в разделе с названием вида «WLAN | Безопасность».

Если в вашей беспроводной сети используется незащищенное соединение, следует быть особенно осторожным с контентом, который расположен в папках с общим доступом, так как в отсутствие защиты он находится в полном распоряжении остальных пользователей. При этом в операционной системе Windows XP Home ситуация с общим доступом просто катастрофическая: по умолчанию здесь вообще нельзя устанавливать пароли — данная функция присутствует только в профессиональной версии. Вместо этого все сетевые запросы выполняются через незащищенную гостевую учетную запись. Обезопасить сеть в Windows XP можно c помощью небольшой манипуляции: запустите командную строку, введите «net user guest ВашНовыйПароль» и подтвердите операцию нажатием клавиши «Enter». После перезагрузки Windows получить доступ к сетевым ресурсам можно будет только при наличии пароля, однако более тонкая настройка в этой версии ОС, к сожалению, не представляется возможной. Значительно более удобно управление настройками общего доступа реализовано в Windows 7. Здесь, чтобы ограничить круг пользователей, достаточно в Панели управления зайти в «Центр управления сетями и общим доступом» и создать домашнюю группу, защищенную паролем.

Отсутствие должной защиты в беспроводной сети является источником и других опасностей, так как хакеры могут с помощью специальных программ (снифферов) выявлять все незащищенные соединения. Таким образом, взломщикам будет несложно перехватить ваши идентификационные данные от различных сервисов.

Хакеры

Как и прежде, сегодня наибольшей популярностью пользуются два способа защиты: фильтрация по MAC-адресам и скрытие SSID (имени сети): эти меры защиты не обеспечат вам безопасности. Для того чтобы выявить имя сети, взломщику достаточно WLAN-адаптера, который с помощью модифицированного драйвера переключается в режим мониторинга, и сниффера — например, Kismet. Взломщик ведет наблюдение за сетью до тех пор, пока к ней не подключится пользователь (клиент). Затем он манипулирует пакетами данных и тем самым «выбрасывает» клиента из сети. При повторном подсоединении пользователя взломщик видит имя сети. Это кажется сложным, но на самом деле весь процесс занимает всего несколько минут. Обойти MAC-фильтр также не составляет труда: взломщик определяет MAC-адрес и назначает его своему устройству. Таким образом, подключение постороннего остается незамеченным для владельца сети.

Если ваше устройство поддерживает только WEP-шифрование, срочно примите меры — такой пароль за несколько минут могут взломать даже непрофессионалы.

Особой популярностью среди кибермошенников пользуется пакет программ Aircrack-ng, который помимо сниффера включает в себя приложение для загрузки и модификации драйверов WLAN-адаптеров, а также позволяет выполнять восстановление WEP-ключа. Известные методы взлома — это PTW- и FMS/KoreKатаки, при которых перехватывается трафик и на основе его анализа вычисляется WEP-ключ. В данной ситуации у вас есть только две возможности: сначала вам следует поискать для своего устройства актуальную прошивку, которая будет поддерживать новейшие методы шифрования. Если же производитель не предоставляет обновлений, лучше отказаться от использования такого устройства, ведь при этом вы ставите под угрозу безопасность вашей домашней сети.

Популярный совет сократить радиус действия Wi-Fi дает только видимость защиты. Соседи все равно смогут подключаться к вашей сети, а злоумышленники зачастую пользуются Wi-Fi-адаптерами с большим радиусом действия.

Публичные точки доступа

Места со свободным Wi-Fi привлекают кибермошенников, так как через них проходят огромные объемы информации, а воспользоваться инструментами взлома может каждый. В кафе, отелях и других общественных местах можно найти публичные точки доступа. Но другие пользователи этих же сетей могут перехватить ваши данные и, например, взять под свой контроль ваши учетные записи на различных веб-сервисах.

Защита Cookies. Некоторые методы атак действительно настолько просты, что ими может воспользоваться каждый. Расширение Firesheep для браузера Firefox автоматически считывает и отображает в виде списка аккаунты других пользователей, в том числе на Amazon, в Google, Facebook и Twitter. Если хакер щелкнет по одной из записей в списке, он сразу же получит полный доступ к аккаунту и сможет изменять данные пользователя по своему усмотрению. Firesheep не осуществляет взлом паролей, а только копирует активные незашифрованные cookies. Чтобы защититься от подобных перехватов, следует пользоваться специальным дополнением HTTPS Everywhere для Firefox. Это расширение вынуждает онлайн-сервисы постоянно использовать зашифрованное соединение через протокол HTTPS, если он поддерживается сервером поставщика услуг.

Защита Android. В недавнем прошлом всеобщее внимание привлекла недоработка в операционной системе Android, из-за которой мошенники могли получить доступ к вашим аккаунтам в таких сервисах, как Picasa и «Календарь Google», а также считывать контакты. Компания Google ликвидировала эту уязвимость в Android 2.3.4, но на большинстве устройств, ранее приобретенных пользователями, установлены более старые версии системы. Для их защиты можно использовать приложение SyncGuard.

WPA 2

Наилучшую защиту обеспечивает технология WPA2, которая применяется производителями компьютерной техники еще с 2004 года. Большинство устройств поддерживают этот тип шифрования. Но, как и другие технологии, WPA2 тоже имеет свое слабое место: с помощью атаки по словарю или метода bruteforce («грубая сила») хакеры могут взламывать пароли — правда, лишь в случае их ненадежности. Словари просто перебирают заложенные в их базах данных ключи — как правило, все возможные комбинации чисел и имен. Пароли наподобие «1234» или «Ivanov» угадываются настолько быстро, что компьютер взломщика даже не успевает нагреться.

Метод bruteforce предполагает не использование готовой базы данных, а, напротив, подбор пароля путем перечисления всех возможных комбинаций символов. Таким способом взломщик может вычислить любой ключ — вопрос только в том, сколько времени ему на это потребуется. NASA в своих инструкциях по безопасности рекомендует пароль минимум из восьми символов, а лучше — из шестнадцати. Прежде всего важно, чтобы он состоял из строчных и прописных букв, цифр и специальных символов. Чтобы взломать такой пароль, хакеру потребуются десятилетия.

Пока еще ваша сеть защищена не до конца, так как все пользователи внутри нее имеют доступ к вашему маршрутизатору и могут производить изменения в его настройках. Некоторые устройства предоставляют дополнительные функции защиты, которыми также следует воспользоваться.

Прежде всего отключите возможность манипулирования роутером через Wi-Fi. К сожалению, эта функция доступна лишь в некоторых устройствах — например, маршрутизаторах Linksys. Все современные модели роутеров также обладают возможностью установки пароля к интерфейсу управления, что позволяет ограничить доступ к настройкам.

Как и любая программа, прошивка роутера несовершенна — небольшие недоработки или критические дыры в системе безопасности не исключены. Обычно информация об этом мгновенно распространяется по Сети. Регулярно проверяйте наличие новых прошивок для вашего роутера (у некоторых моделей есть даже функция автоматического обновления). Еще один плюс перепрошивок в том, что они могут добавить в устройство новые функции.

Периодический анализ сетевого трафика помогает распознать присутствие незваных гостей. В интерфейсе управления роутером можно найти информацию о том, какие устройства и когда подключались к вашей сети. Сложнее выяснить, какой объем данных загрузил тот или иной пользователь.

Гостевой доступ — средство защиты домашней сети

Если вы защитите роутер надежным паролем при использовании шифрования WPA2, вам уже не будет угрожать никакая опасность. Но только до тех пор, пока вы не передадите свой пароль другим пользователям. Друзья и знакомые, которые со своими смартфонами, планшетами или ноутбуками захотят выйти в Интернет через ваше подключение, являются фактором риска. Например, нельзя исключать вероятность того, что их устройства заражены вредоносными программами. Однако из-за этого вам не придется отказывать друзьям, так как в топовых моделях маршрутизаторов, например Belkin N или Netgear WNDR3700, специально для таких случаев предусмотрен гостевой доступ. Преимущество данного режима в том, что роутер создает отдельную сеть с собственным паролем, а домашняя не используется.

Надежность ключей безопасности

WEP (WIRED EQUIVALENT PRIVACY). Использует генератор псевдослучайных чисел (алгоритм RC4) для получения ключа, а также векторы инициализации. Так как последний компонент не зашифрован, возможно вмешательство третьих лиц и воссоздание WEP-ключа.

WPA (WI-FI PROTECTED ACCESS) Основывается на механизме WEP, но для расширенной защиты предлагает динамический ключ. Ключи, сгенерированные с помощью алгоритма TKIP, могут быть взломаны посредством атаки Бека-Тевса или Охигаши-Мории. Для этого отдельные пакеты расшифровываются, подвергаются манипуляциям и снова отсылаются в сеть.

WPA2 (WI-FI PROTECTED ACCESS 2) Задействует для шифрования надежный алгоритм AES (Advanced Encryption Standard). Наряду с TKIP добавился протокол CCMP (Counter-Mode/CBC-MAC Protocol), который также базируется на алгоритме AES. Защищенную по этой технологии сеть до настоящего момента взломать не удавалось. Единственной возможностью для хакеров является атака по словарю или «метод грубой силы», когда ключ угадывается путем подбора, но при сложном пароле подобрать его невозможно.

Что такое безопасность домашней сети и как защитить Wi-Fi роутер?

Защита домашней сети – это намного больше, чем установка пароля от Wi-Fi. Допустим, что в вашей семье кто-нибудь каждый день смотрит любимые передачи по Smart TV или совершает покупки онлайн, кто-то играет в игры на консоли, а кто-то удалённо работает – при всех этих процессах самые различные важные данные о вас или членах вашей семьи (личные документы, пароли, адреса, фотографии и т. д.) попадают в интернет через домашнюю сеть. 

Вы наверняка слышали о таких явлениях, как «фишинг» и «вредоносное ПО», которые используют злоумышленники для получения несанкционированного доступа в сеть с целью кражи личной информации или уничтожения данны. Но знаете ли вы, что это на самом деле и как с этим бороться?

Безопасность домашней сети — это фундамент, на котором строится защита от угроз злоумышленников. В данной статье мы постараемся осветить базовые понятия сетевой безопасности и способы её улучшения.

Как обезопасить домашнюю сеть?

Как защитить роутер

Как правило, домашняя сеть начинается с роутера и нескольких подключённых к нему устройств. Роутер отвечает за передачу данных между домашней сетью и интернетом. Wi-Fi роутер, может, и не самое яркое устройство, если сравнивать его с игровой консолью, Smart TV или планшетом, но он точно важнее их всех, когда речь заходит о защите от внешних вредоносных атак. Можно сделать ряд изменений, которые помогут обезопасить роутер от взломов хакеров или вредоносного ПО:

• Установите уникальный пароль как для сети Wi-Fi, так и для входа в сам роутер.

  Не оставляйте на роутере пароль Wi-Fi и пароль администратора по умолчанию — злоумышленники могут предпринимать множество попыток по взлому устройств с использованием этих данных, находящихся в открытом доступе. Также рекомендуется периодически менять эти пароли.

• Регулярно обновляйте прошивку роутера.

  Прошивка роутера устанавливает базовый стандарт безопасности домашней сети, определяя, какие устройства могут подключаться, а какие — нет. Для устранения обнаруженных уязвимостей новые версии прошивок содержат патчи безопасности и исправления ошибок. Лучший выбор – это роутер с автоматическим обновлением прошивки из облака. Главное, не забыть включить эту функцию.

• Создайте гостевую сеть.

  Практически к каждому периодически приходят гости, и было бы странно отказывать им в доступе к Wi-Fi, но кто знает, что может проникнуть в сеть через их устройства? Лучшее решение этой проблемы — создать гостевую сеть (если на роутере, конечно, есть такая функция). Гостевая сеть достаточно изолирована от основной сети LAN, так что у гостей будет доступ в интернет и не будет доступа к вашим личным данным. Можно пойти ещё дальше и скрыть имя (SSID) домашней сети Wi-Fi, разрешая подключение только для доверенных устройств и периодически проверяя список подключённых устройств на предмет наличия неизвестного устройства.

• Отключите функции WPS и UPnP.

  На некоторых Wi-Fi роутерах есть кнопка Pair или WPS, упрощающая подключение и позволяющая добавлять новые устройства в сеть без ввода пароля. Это, конечно, удобно, однако из-за уязвимостей через эту функцию можно получить несанкционированный доступ к домашней сети.

  Схожим образом устроена функция UPnP (Universal Plug and Play), предназначенная для упрощения подключения устройств, таких как роутеры и Smart TV, но некоторые вредоносные программы используют UPnP для получения доступа к домашней сети.

  Если вам важна безопасность сети, лучше этими функциями не пользоваться.

Как выбрать безопасный роутер

• Выбирайте роутер с WPA3.

  Для улучшения безопасности домашней сети уже сделано многое. Сегодня практически все домашние роутеры используют технологию WPA (WPA‑PSK/WPA2‑PSK) для шифрования Wi-Fi и защиты паролей, используемых в интернете. WPA3 это новейший протокол безопасности Wi-Fi представленный альянсом Wi-Fi Alliance, который обеспечивает ещё более надёжное шифрование паролей и улучшенную защиту от брутфорс‑атак. Если на домашнем роутере нет WPA3, то предыдущий стандарт WPA2-AES тоже по‑прежнему достаточно надёжен. Однако стоит всерьёз задуматься о замене роутера, если он поддерживает только устаревший протокол WEP (Wired Equivalent Privacy).

• Выбирайте роутер с антивирусом и возможностью управления безопасностью.

  Сегодня производители серьёзно относятся к безопасности, и во многих моделях есть встроенные средства безопаности и антивирусы, которые помогают предотвратить вторжения в сеть, улучшить безопасность данных и конфиденциальность, а также устранить уязвимости домашней сети. Надёжный роутер позволит забыть про все предыдущие советы. Также есть множество дополнительных средств безопасности, если не хочется расставаться с текущим роутером.

• Управляйте роутером через приложение.

  В последние годы производители роутеров всё чаще разрабатывают мобильные приложения для управления домашней сетью и стараются обходить стороной проблематичные веб-интерфейсы. Приложение для управления роутером позволяет выполнять мониторинг безопасности сети и сообщает, на что обратить внимание, посредством push-уведомлений. Благодаря приложению можно следить, кто получает доступ к устройствам, а также управлять им из телефона.

Как обезопасить доступ в интернет для близких

Было бы полезно обучить близких распознавать и избегать потенциальные сетевые угрозы. Есть множество функций родительского контроля для создания индивидуальных профилей членов семьи, позволяющих ограничить действия на их устройствах и время, проводимое в сети. Это простой способ отгородить их от сомнительных сайтов и практичный способ дисциплинировать их в интернете в зависимости от возраста.

• Установите время доступа для детей.

  По мере проникновения интернета во все сферы жизни дети всё больше времени проводят перед экраном, из-за чего они менее активны, что, в свою очередь, увеличивает риск возникновения интернет‑зависимости и проблем со здоровьем. В борьбе с этим помогут расписания и установка ограничений на время, проводимое в сети.

• Отгородите семью от непристойного контента.

  Функциональный домашний роутер с родительским контролем умеет блокировать непристойный и вредоносный контент в соответствии с библиотекой фильтров производителя. Также есть возможность ограничить доступ детей к URL‑адресам, содержащим определённые слова, и к приложениям с ограничениями по возрасту.

• Защитите IoT-устройства.

  Камеры умного дома позволяют не волноваться, когда никого нет дома, но никто не хочет, чтобы к ним появился доступ у незнакомцев, которые смогут следить за всем происходящим дома. Как правило, при попытке взлома у IoT‑устройств обнаруживается ряд уязвимостей, поэтому для таких устройств важно обеспечить дополнительную безопасность. Передовой роутер с защитой IoT‑устройств влетит в копеечку, но это того стоит, если не хочется лишаться умного дома и нужно сохранить безопасность домашней сети.

Как без труда управлять домашней сетью

Мы дали несколько советов по обеспечению безопасности домашней сети, причём большинство из них относится к роутерам с продвинутыми функциями — было бы нехорошо, если бы мы не дали рекомендации по выбору устройств. С учётом этого мы бы посоветовали приглядеться к линейке Mesh Wi-Fi устройств Deco.

Устройства TP-Link Deco — это отличное решение для простого управления безопасностью домашней сети, которое не только обеспечит Wi-Fi покрытие во всём доме с одним именем сети (SSID), но и позволит иметь доступ ко всем функциям безопасности, о которых говорилось выше.

Компания TP-Link разработала сервис HomeCare™, чтобы у устройств Deco была самая лучшая безопасность из всех домашних Wi-Fi систем, имеющихся в продаже на сегодняшний день, и чтобы каждое устройство в сети было автоматически защищено от угроз безопасности.

HomeCare™ также включает в себя мощный родительский контроль, которым легко управлять через приложение Deco, благодаря чему можно без труда составлять для семьи расписания времени, проводимого в сети, а также создать безопасную сетевую среду за счёт блокировки неподобающих сайтов с помощью продвинутой фильтрации контента.

Устройства серии Deco* поддерживают новейший протокол WPA3 и автоматическое обновление до новой версии прошивки с улучшенной безопасностью и функционалом.

Благодаря приложению Deco настройка не займёт много времени, а в случае возникновения каких-либо угроз безопасности тут же поступит уведомление.

* Для поиска совместимых моделей посетите раздел устройств с поддержкой WPA3.

Часто задаваемые вопросы

Как узнать, какой протокол безопасности используется на роутере?

Протокол безопасности роутера можно узнать через веб-интерфейс управления или приложение в разделе сетевой безопасности. Перед покупкой нового роутера не будет лишним почитать о функциях Wi-Fi безопасности на сайте производителя.

Все ли устройства Deco поддерживают HomeCare™?

В настоящее время HomeCare™ поддерживают следующие устройства: Deco X60, Deco X20, Deco M9 Plus, Deco P7 и Deco M5. Поскольку все устройства Deco работают вместе для создания единой домашней Mesh-сети Wi-Fi, можно купить одну из перечисленных моделей на роль основного роутера для защиты всей домашней сети.

Каким образом Deco защищает IoT-устройства и устройства умного дома?

TP-Link HomeCare™ выявляет проникновения, блокирует потенциальные угрозы и устраняет уязвимости сети. Заражённые устройства автоматически отправляются на карантин, благодаря чему личная информация останется в безопасности и будет остановлено дальнейшее распространение вируса на другие устройства.

Как обновить прошивку Deco?

Можно включить автоматическое обновление в приложении Deco либо посетить раздел поддержки TP-Link для загрузки последней версии прошивки и обновления Deco вручную.

Рекомендуемые устройства

Deco Wi-Fi 6

• Deco X60

  AX3000 Домашняя Mesh Wi-Fi система

• Deco X20

  AX1800 Домашняя Mesh Wi-Fi система

Deco Wi-Fi 5

• Deco M9 Plus

  AC2200 Mesh Wi-Fi система для умного дома

• Deco P7

  AC1300+AV600 Домашняя гибридная Mesh Wi-Fi система

• Deco M5

  AC1300 Домашняя Mesh Wi-Fi система

Как обезопасить свой Wi-Fi роутер и защитить вашу домашнюю сеть

Ваш роутер, пожалуй, самый важный гаджет в вашем доме. Он проверяет весь входящий и исходящий трафик, действуя в качестве сторожа, чтобы убедиться, что ничего опасного не входит и ничего важного не выходит. Он контролирует доступ к вашей домашней сети Wi-Fi, а через нее и ко всем вашим телефонам, планшетам, ноутбукам и т. Д. Если кто-то другой получит доступ к этой сети — будь то удаленный хакер или ваш ближайший сосед, — скомпрометировать эти устройства можно быстро.

Имея это в виду, очень важно обеспечить безопасность вашего маршрутизатора. Хорошая новость в том, что эти шаги не слишком сложны и не требуют много времени, и они значительно снизят ваш риск.

Эти советы потребуют от вас доступа к настройкам маршрутизатора, что обычно можно сделать через веб-браузер, введя IP-адрес или, если вам повезет, через приложение на телефоне. Если вы не знаете, как найти эти настройки, проверьте документацию, прилагаемую к маршрутизатору, или выполните быстрый поиск в Интернете, указав марку и модель вашего маршрутизатора.

Изменение паролей

Вы должны использовать защиту WPA2 для защиты доступа к вашему маршрутизатору, который, по сути, требует, чтобы каждое новое устройство отправляло пароль для подключения. Он включен по умолчанию практически на каждом маршрутизаторе, но если он не активен на вашем устройстве, включите его в настройках маршрутизатора.

Рекомендуется регулярно менять пароль Wi-Fi. Да, это означает, что вам нужно снова подключить все ваши устройства, но это также отпугивает любых нежелательных посетителей, которые могут скрываться.Панель настроек вашего маршрутизатора должна предоставить вам список подключенных устройств, хотя его может быть сложно интерпретировать.

Мы также рекомендуем изменить пароль, необходимый для доступа к настройкам маршрутизатора, поскольку многие люди просто оставляют значения по умолчанию на месте — а это означает, что кто-то, кто знает значения по умолчанию или может догадаться, может перенастроить ваш маршрутизатор. Как и в случае с любым паролем, его очень сложно угадать, но невозможно забыть.

Эти настройки пароля должны отображаться на довольно заметном месте на панели настроек маршрутизатора, и если ваш маршрутизатор является более новой моделью, вы вполне можете получить предупреждения, если новые пароли, которые вы выбираете, слишком легко угадать или перебрать.Вскоре WPA2 уступит место WPA3, который предлагает больше настроек и безопасность, но до тех пор уделяйте пристальное внимание гигиене пароля Wi-Fi.

Поддерживайте актуальность прошивки

На вашем маршрутизаторе работает низкоуровневое программное обеспечение, называемое микропрограммой, которое, по сути, контролирует все, что делает маршрутизатор. Он устанавливает стандарты безопасности для вашей сети, определяет правила о том, какие устройства могут подключаться, и так далее.

Некоторые современные маршрутизаторы обновляются в фоновом режиме, но независимо от модели, всегда стоит следить за актуальностью прошивки.Это означает, что у вас есть последние исправления ошибок и патчи безопасности, и вы защищены от любых только что обнаруженных эксплойтов.

Процесс отличается от маршрутизатора к маршрутизатору, но, как и в случае с настройками пароля, возможность обновить прошивку вашего маршрутизатора не должно быть слишком сложно найти на панели управления маршрутизатора. Если вы застряли, проверьте документацию маршрутизатора или официальный сайт поддержки в Интернете.

Безопасность | Wi-Fi Alliance

Откройте для себя Wi-Fi

Wi-Fi ^® — неотъемлемая часть повседневной жизни.Миллиарды людей во всем мире используют Wi-Fi в своих домах и на работе, чтобы делать покупки, делать банковские операции, координировать жизнь и оставаться на связи. Защита Wi-Fi-соединений является важным элементом защиты личных данных, и Wi-Fi Alliance ^® находится в авангарде развития безопасности Wi-Fi, поскольку количество устройств Wi-Fi, используемых во всем мире, растет.

С 2003 года Wi-Fi Alliance позволяет частным лицам и компаниям повысить защиту информации, передаваемой по сетям Wi-Fi, с помощью семейства технологий Wi-Fi Protected Access ^® .Функции безопасности защищенного доступа Wi-Fi постоянно развиваются, включая усиление защиты и новые методы обеспечения безопасности по мере изменения ландшафта безопасности.

Семейство систем безопасности Wi-Fi Protected Access включает решения для личных и корпоративных сетей.

СЕРТИФИЦИРОВАННЫЙ Wi-Fi WPA3 ™

WPA3 ™ обеспечивает рынок передовыми протоколами безопасности. Опираясь на широко распространенный успех и внедрение безопасности Wi-Fi, WPA3 добавляет новые функции для упрощения безопасности Wi-Fi, обеспечения более надежной аутентификации, повышения криптографической стойкости для высокочувствительных рынков данных и поддержания отказоустойчивости критически важных сетей.Все сети WPA3:

• Используйте новейшие методы безопасности
• Запретить устаревшие устаревшие протоколы
• Требовать использования защищенных кадров управления (PMF)

Поскольку сети Wi-Fi различаются по назначению и требованиям безопасности, WPA3 включает дополнительные возможности специально для личных и корпоративных сетей. Пользователи WPA3-Personal получают повышенную защиту от попыток подбора пароля, в то время как пользователи WPA3-Enterprise теперь могут воспользоваться преимуществами высококлассных протоколов безопасности для конфиденциальных сетей передачи данных.

WPA3 — это обязательная сертификация для устройств Wi-Fi CERTIFIED ™.

WPA3-Personal

WPA3-Personal обеспечивает лучшую защиту отдельных пользователей, обеспечивая более надежную аутентификацию на основе паролей, даже когда пользователи выбирают пароли, не соответствующие типичным рекомендациям по сложности. Эта возможность обеспечивается за счет одновременной аутентификации равных (SAE). Технология устойчива к атакам по словарю в автономном режиме, когда злоумышленник пытается определить сетевой пароль, пробуя возможные пароли без дальнейшего взаимодействия с сетью.

• Естественный выбор пароля: Позволяет пользователям выбирать пароли, которые легче запомнить
• Простота использования: Обеспечивает улучшенную защиту без изменения способа подключения пользователей к сети
• Прямая секретность: Защищает трафик данных, даже если пароль скомпрометирован после передачи данных

WPA3-предприятие

WPA3-Enterprise строится на основе WPA2-Enterprise с дополнительным требованием использования защищенных фреймов управления на всех соединениях WPA3.

• Аутентификация: несколько методов расширяемого протокола аутентификации (EAP)
• Аутентифицированное шифрование: минимум 128-битное расширенное шифрование, стандартный режим счетчика с проверкой подлинности сообщения цепочки блоков шифрования (AES-CCMP 128)
• Получение и подтверждение ключа: минимум 256-битный режим аутентификации хешированных сообщений (HMAC) с алгоритмом безопасного хеширования (HMAC-SHA256)
• Надежная защита кадра управления: минимум 128-битный протокол проверки целостности широковещательной / многоадресной передачи на основе шифра (BIP-CMAC-128)

WPA3-Enterprise с 192-битным режимом

WPA3-Enterprise также предлагает дополнительный режим с использованием 192-битных протоколов безопасности с минимальной надежностью и криптографических инструментов для лучшей защиты конфиденциальных данных.

• Аутентификация : Extensible Authentication Protocol — Transport Layer Security (EAP-TLS) с использованием обмена эллиптической кривой Диффи-Хеллмана (ECDH) и алгоритма цифровой подписи на эллиптической кривой (ECDSA) с использованием 384-битной эллиптической кривой
• Аутентифицированное шифрование: 256-битный протокол Галуа / счетчика (GCMP-256)
• Получение и подтверждение ключа : 384-битный режим аутентификации хешированных сообщений (HMAC) с алгоритмом безопасного хеширования (HMAC-SHA384)
• Надежная защита кадра управления: 256-битный протокол целостности широковещательной / многоадресной передачи Код аутентификации сообщения Галуа (BIP-GMAC-256)

192-битный режим безопасности, предлагаемый WPA3-Enterprise, гарантирует, что используется правильная комбинация криптографических инструментов, и устанавливает постоянный базовый уровень безопасности в сети WPA3.

Открытые сети Wi-Fi

Пользователи получают доступ к сетям Wi-Fi повсюду: дома, в офисе, в отелях, торговых центрах, транспортных узлах и муниципальных районах. Доступ к незащищенным сетям в этих местах представляет риск того, что кто-то может получить личные данные, поэтому Wi-Fi Alliance настоятельно рекомендует пользователям обеспечивать доступ к защищенным сетям с проверкой подлинности, когда это возможно. Однако бывают ситуации, когда открытая сеть Wi-Fi — единственный возможный вариант. Хотя многие потребители во всем мире без проблем используют открытые сети, важно осознавать риск, который представляет открытая сеть, и проявлять усердие в защите пользовательских данных.Чтобы устранить эти риски, Wi-Fi Alliance разработал решение, которое принесет пользу пользователям открытых сетей Wi-Fi.

СЕРТИФИКАЦИЯ Wi-Fi Enhanced Open ^™ — это сертификат Wi-Fi Alliance, который сохраняет удобство открытых сетей и снижает некоторые риски, связанные с доступом к незащищенной сети. Wi-Fi Enhanced Open ^{™ сети} обеспечивают шифрование данных без аутентификации для пользователей, что является улучшением по сравнению с традиционными открытыми сетями без каких-либо средств защиты. Эти средства защиты прозрачны для пользователя.Основываясь на возможном беспроводном шифровании (OWE), определенном в спецификации RFC8110 Целевой группы инженеров Интернета (IETF), и спецификации возможного беспроводного шифрования Wi-Fi Alliance, Wi-Fi Enhanced Open дает преимущества пользователям, обеспечивая шифрование данных, которое поддерживает простоту использования открытых сетей, и приносит пользу сетевым поставщикам, потому что нет общедоступных парольных фраз, которые нужно поддерживать, передавать или управлять.

Поскольку Wi-Fi Enhanced Open — это программа Wi-Fi CERTIFIED ^™ , эта технология совместима с устаревшими сетями, даже с теми, которые используют скрытый портал.Сетевым операторам, желающим развернуть полнофункциональное решение для аутентификации и подготовки устройств, следует рассмотреть такие подходы, как Wi ‑ Fi CERTIFIED Passpoint ^® .

Отчет об уязвимостях

Разработка безопасности

• WPA3 ™: самая передовая система безопасности Wi-Fi
• Какие тенденции Wi-Fi ожидаются в 2020 году?

• Что означает «безопасность» в контексте Wi-Fi?

  В контексте технологии Wi-Fi безопасность означает две вещи.Во-первых, контроль того, кто может подключаться и настраивать вашу сеть и оборудование. Во-вторых, это означает защиту данных, передаваемых по беспроводной сети через вашу сеть Wi-Fi, от несанкционированного просмотра.

  Безопасность Wi-Fi — это лишь один из аспектов безопасности сетей. Защищенная сеть Wi-Fi — отличное начало, но вам также следует подумать о мерах по защите вашего компьютера (вирусное программное обеспечение, брандмауэр и т. Д.) И ваших коммуникаций через виртуальную частную сеть (VPN) в Интернете и т. Д.

• Что такое защищенные фреймы управления? Защищенные кадры управления

  (PMF) обеспечивают защиту кадров действий управления одноадресной и многоадресной рассылкой.Кадры действий управления одноадресной рассылкой защищены как от перехвата, так и от подделки, а кадры действий управления многоадресной рассылкой защищены от подделки. Они дополняют уже существующие средства защиты конфиденциальности для фреймов данных механизмами повышения отказоустойчивости критически важных сетей. PMF требуется для всех новых сертифицированных устройств.

• Защищены ли продукты с СЕРТИФИКАЦИЕЙ Wi-Fi системой безопасности?

  С 1 июля 2020 г. для всех новых устройств с СЕРТИФИЦИРОВАННЫМ Wi-Fi требуется WPA3. Единственный способ убедиться, что продукт соответствует последним стандартам безопасности, — это покупать только СЕРТИФИЦИРОВАННЫЕ продукты Wi-Fi.

• Какие меры безопасности мне следует предпринять, работая вне дома?

  Настройте клиентские устройства Wi-Fi (ноутбуки, телефоны и другие продукты с поддержкой Wi-Fi), чтобы включить средства защиты.

  Настроить для утвержденных подключений. Многие устройства по умолчанию настроены на обнаружение и автоматическое подключение к любому доступному беспроводному сигналу. Wi-Fi Alliance рекомендует настроить устройство на автоматическое подключение , а не к открытой сети без вашего разрешения.

  Отключить совместное использование: устройства с поддержкой Wi-Fi могут автоматически разрешать общий доступ / подключение к другим устройствам при подключении к беспроводной сети. Совместное использование файлов и принтеров может быть обычным явлением в корпоративных и домашних сетях, но этого следует избегать в общедоступных сетях, таких как гостиница, ресторан или точка доступа в аэропорту.

  Пользователи могут также пожелать использовать дополнительные меры безопасности для повышения безопасности своей деятельности в Интернете, включая виртуальные частные сети (VPN), межсетевые экраны и т. Д.

• Что такое «устаревшие протоколы»?

  Другие унаследованные протоколы представляют собой более ранние поколения безопасности Wi-Fi, которые со временем обновлялись или заменялись в связи с меняющимися потребностями ландшафта безопасности. Первоначальным стандартом безопасности был Wired Equivalent Privacy (WEP). Он был заменен исходным защищенным доступом Wi-Fi (WPA) в 2003 году в качестве временного решения ограниченной защиты, предлагаемой WEP. В программу WPA добавлена ​​поддержка шифрования Temporal Key Integrity Protocol (TKIP), более старой формы технологии безопасности с некоторой уязвимостью для криптографических атак.WPA был заменен в 2004 году более продвинутыми протоколами WPA2.

  Хотя угроза нарушения безопасности невелика, пользователям не следует покупать новое оборудование, которое поддерживает только WPA с TKIP. Следует покупать и использовать только устройства, поддерживающие безопасность WPA3.

Безопасность домашней сети. Защитите свой беспроводной маршрутизатор и устройства

Единственная мера, которую большинство людей используют в настоящее время для защиты своей домашней беспроводной сети, — это установка пароля и предотвращение доступа соседей и других людей к вашим данным.Но мы должны более серьезно относиться к безопасности домашней сети и делать больше, чем просто устанавливать простой пароль.

Защита домашней сети состоит из двух основных компонентов. Первый — это безопасность маршрутизатора, в основе которой — инвестиции в высококачественное устройство следующего поколения со встроенными средствами безопасности. Это позволит вам настроить брандмауэр, VPN, родительский контроль и даже фильтрацию DNS с самого маршрутизатора.

Второй компонент, о котором следует помнить, — это защита устройств, которые подключаются к сети через маршрутизатор.Сюда входят как беспроводные, так и кабельные каналы.

Из этой статьи вы узнаете, как лучше защитить сетевое соединение и снизить вероятность компрометации ценных данных. Выполните следующие действия, чтобы повысить безопасность вашей домашней беспроводной сети.

Как защитить свой Wi-Fi роутер

Шаг 1. Обновите прошивку роутера до последней доступной версии

Программное обеспечение является неотъемлемой частью безопасности вашей беспроводной сети. Прошивка беспроводного маршрутизатора, как и любое другое программное обеспечение, содержит недостатки, которые могут стать серьезными уязвимостями и быть безжалостно использованы хакерами.

К сожалению, многие беспроводные маршрутизаторы не имеют возможности автоматического обновления программного обеспечения, поэтому вам придется делать это вручную. И даже для тех сетей Wi-Fi, которые могут обновляться автоматически, вам по-прежнему требуется включить этот параметр.

Но мы напоминаем вам о важности установки исправлений для программного обеспечения и о том, что пренебрежение этим может оставить киберпреступникам открытые двери для использования различных уязвимостей. Прочтите, что говорят эксперты по безопасности об обновлении вашего программного обеспечения и о том, почему это важно для онлайн-безопасности.

Шаг 2. Измените логин администратора роутера

Для настройки беспроводного маршрутизатора обычно требуется доступ к онлайн-платформе или сайту, где вы можете внести несколько изменений в настройки сети. Обычно вы можете получить к нему доступ, введя IP-адрес вашего маршрутизатора в веб-браузер.

Если у вас новый маршрутизатор, вы можете найти его IP-адрес, указанный на веб-сайте производителя или в руководстве по продукту, которое вам было предоставлено при покупке. Однако, если ваше устройство довольно старое, вы все равно можете узнать его IP-адрес, следуя этому удобному руководству.

Эти базовые шаги научат вас, как легко подключиться к домашней сети в качестве администратора. Обычно тип адресной строки выглядит как http://192.168.1.1 или http://192.168.0.1.

Большинство маршрутизаторов Wi-Fi поставляются с учетными данными по умолчанию, такими как «администратор» и «пароль», которые легко могут взломать злоумышленники. Следовательно, вам необходимо получить доступ к настройкам маршрутизатора и изменить их на уникальные учетные данные, которые невозможно так легко угадать.

Я рекомендую создать никоим образом не личное имя пользователя и связать его с надежным паролем, содержащим как прописные, так и строчные буквы, а также буквенно-цифровые символы.

Шаг 3. Измените имя сети Wi-Fi по умолчанию

Если вы хотите повысить безопасность беспроводной сети, первое, что вам следует сделать, это изменить имя вашей сети Wi-Fi, также известное как SSID (идентификатор набора услуг). Если дать вашему Wi-Fi несколько провокационное название, такое как «Не могу взломать это», время от времени может иметь неприятные последствия, другие имена, такие как «это не Wi-Fi» или «слишком летать для Wi-Fi», вполне приемлемы. .

Изменение имени по умолчанию для вашего Wi-Fi затрудняет злоумышленникам возможность узнать, какой у вас тип маршрутизатора.Если злоумышленник знает название производителя вашего маршрутизатора, он узнает, какие уязвимости имеет эта модель, и затем попытается их использовать. Мы настоятельно не рекомендуем называть вашу домашнюю сеть чем-то вроде «Wi-Fi Джона».

Вы не хотите, чтобы они с первого взгляда знали, какая беспроводная сеть принадлежит вам, когда, вероятно, есть три или четыре других Wi-Fi, расположенных по соседству. Также помните, что раскрытие слишком большого количества личной информации об имени беспроводной сети может подвергнуть вас операции кражи личных данных.Вот пошаговое и простое руководство, в котором объясняется, как легко изменить имя своей беспроводной сети.

Шаг 4. Установите надежный пароль Wi-Fi и активируйте максимально возможное шифрование.

Вы, вероятно, знаете, что каждый беспроводной маршрутизатор поставляется с предварительно заданными именем пользователя и паролем по умолчанию, которые необходимы в первую очередь для установки и подключения вашего маршрутизатора. Хуже всего то, что хакерам легко угадать это, особенно если они знают производителя.

Итак, убедитесь, что вы немедленно заменили их обоих.Хороший пароль беспроводной сети должен состоять не менее чем из 20 символов и включать цифры, буквы и различные символы. И, что наиболее важно, не использует тот же пароль, что и пароль администратора маршрутизатора.

Что касается шифрования, беспроводные сети имеют несколько языков шифрования, таких как WEP, WPA, WPA2 и WPA3. Чтобы лучше понять эту терминологию, WPA2 означает Wi-Fi Protected Access 2 и одновременно является протоколом безопасности и текущим стандартом в отрасли (сети WPA2 есть почти везде) и шифрует трафик в сетях Wi-Fi.

Он также заменяет более старый и менее безопасный WEP (Wired Equivalent Privacy) и является обновлением исходной технологии WPA (Wi-Fi Protected Access). С 2006 года все продукты с сертификатом Wi-Fi должны использовать защиту WPA2.

WPA2 AES теперь также является стандартной системой безопасности, поэтому все беспроводные сети совместимы с ней. Если вы хотите включить шифрование WPA2 на беспроводном маршрутизаторе, выполните эти шесть шагов. Если вы используете беспроводной маршрутизатор TP-Link, вот как защитить свою беспроводную сеть.

Хорошая новость в том, что WPA3 уже здесь и постепенно заменяет WPA2. В 2018 году Wi-Fi Alliance объявил о своем стандарте безопасности беспроводных сетей следующего поколения, который призван решить общую проблему безопасности: открытые сети Wi-Fi. Более того, он поставляется с улучшенными функциями безопасности и включает набор функций, упрощающих настройку безопасности Wi-Fi для пользователей и поставщиков услуг.

Шаг 5. Используйте гостевую сеть Wi-Fi для посетителей

Сохранение вашего основного Wi-Fi-соединения конфиденциальным и доступным только для постоянных жителей дома — хороший способ предотвратить кибератаки.Не сообщайте свои учетные данные никому, будь то соседи или близкие друзья. Вы никогда не знаете, с кем и при каких обстоятельствах они передают ваши данные для входа.

И даже если они этого не сделают, они все равно могут подключиться к вашей сети с зараженным устройством при посещении. Это может и, вероятно, заразит все ваши подключенные устройства. Наличие отдельной сети ограничивает риск распространения угрозы на каждую машину, подключенную к вашему Wi-Fi.

При настройке сети посетителей убедитесь, что вы создали пароль, отличный от пароля вашего основного Wi-Fi, по очевидным причинам.В конце концов, вы не хотите, чтобы все эти проблемы с дополнительным подключением были напрасными, потому что его учетные данные были такими же, как и для вашего основного.

Шаг 6. Настройте другую сеть Wi-Fi для своих устройств IoT

Пока мы обсуждаем настройку отдельных подключений Wi-Fi, было бы неплохо сделать то же самое для ваших IoT-устройств. Почему? Потому что большинство устройств Интернета вещей имеют очень низкую безопасность и могут быть легко взломаны. Это приведет к распространению инфекции на все устройства в этой сети.

Наличие отдельного подключения — простой способ решить эту проблему. Опять же, не забудьте установить другой пароль для этой сети, чтобы хакеры не могли определить ваш основной пароль Wi-Fi, имея к нему доступ.

Перед созданием отдельной сети Wi-Fi имейте в виду, что многие устройства IoT могут подключаться только к сетям 2,4 ГГц. Это означает, что вам может потребоваться настроить для них другой Wi-Fi, если вам интересно, почему вы не можете подключить свой умный пылесос к основной сети 5 ГГц.

Шаг 7. Отключите WPS (Wi-Fi Protected Setup)

Функция WPS на вашем маршрутизаторе была разработана для облегчения добавления новых устройств в сеть для людей, не особо разбирающихся в технологиях. Это достигается за счет сокращения всего процесса до нажатия кнопки или ввода PIN-кода.

И хотя Wi-Fi Protected Setup действительно значительно упрощает подключение к Интернету для людей, которые мало о нем знают, это также очень небезопасно. Если оставить его включенным, хакеры потенциально могут получить ваши учетные данные в течение нескольких часов.Поэтому настоятельно рекомендую отключить его в домашней сети.

Для этого откройте онлайн-платформу маршрутизатора и перейдите на вкладку «Беспроводная связь» в дополнительных настройках. Там вы должны найти меню WPS. Выберите или переключите «Отключить», затем перезагрузите маршрутизатор, и все готово.

Шаг 8. Скройте имя своей сети Wi-Fi (широковещательная передача SSID)

Скрытие имени вашего подключения — еще один способ повысить безопасность вашей домашней сети. Это еще одна операция, которую вы можете выполнить на платформах онлайн-настроек маршрутизатора.Получите доступ к нему, как описано в разделах выше, затем перейдите на вкладку Wi-Fi> Настройки безопасности Wi-Fi в меню дополнительных настроек. Щелкните SSID и установите флажок Скрыть Wi-Fi. Не забудьте сохранить изменения.

Сеть будет отображаться как скрытая сеть, и вам нужно будет вручную ввести ее имя для подключения. Если вы не знаете название сети, вы не сможете подключиться. Есть способы раскрыть скрытое имя SSID, но это по-прежнему хорошая практика для еще большей безопасности вашего Wi-Fi.

Шаг 9.Измените IP-адрес администратора маршрутизатора по умолчанию

Изменение IP-адреса по умолчанию на менее распространенный — это еще одна вещь, которую вам следует рассмотреть, чтобы лучше защитить вашу домашнюю сеть и усложнить ее отслеживание хакерами. Чтобы изменить IP-адрес маршрутизатора, выполните следующие действия:

Войдите в консоль маршрутизатора как администратор. Как только вы окажетесь там, введите имя пользователя и пароль на странице входа. Затем выберите Сеть> LAN, которая находится в меню слева.Измените IP-адрес на предпочтительный, затем нажмите «Сохранить».

Примечание. После того, как вы изменили IP-адрес, вам нужно будет ввести новый IP-адрес в строку веб-браузера. Вы также можете изменить DNS-сервер, который использует ваш беспроводной маршрутизатор для фильтрации интернет-трафика, и это руководство покажет, как это сделать.

Шаг 10. Включите фильтрацию MAC-адресов

Чтобы еще больше ограничить количество устройств, которые могут подключаться к вашей сети Wi-Fi, я рекомендую включить опцию фильтрации MAC-адресов.Зайдите в веб-интерфейс вашего роутера и найдите подходящий вариант. Он может быть указан как MAC-фильтр, сетевой фильтр, контроль доступа, доступ к сети или что-то в этом роде. Вы найдете его в меню «Безопасность», «Беспроводная связь» или «Дополнительно».

Если включить его, только указанные MAC-адреса смогут получить доступ к сети. При желании вы также можете выполнить привязку IP и MAC, процесс, известный как привязка ARP. Делая это, вы назначаете уникальный IP-адрес для каждого MAC-адреса, поэтому устройство будет подключаться каждый раз, используя один и тот же IP-адрес.

Шаг 11. Отключить удаленный доступ администратора

Большинство маршрутизаторов позволяют получить доступ к их интерфейсу только с подключенного устройства. Однако некоторые из них позволяют доступ даже из удаленных систем. После отключения удаленного доступа злоумышленники не смогут получить доступ к настройкам конфиденциальности вашего маршрутизатора с устройства, не подключенного к вашей беспроводной сети. Чтобы внести это изменение, войдите в веб-интерфейс и выполните поиск «Удаленный доступ» или «Удаленное администрирование».

Шаг 12. Ограничьте доступ локального администратора к вашему маршрутизатору

Ограничение доступа локального администратора к вашему маршрутизатору — еще один шаг к мониторингу безопасности вашей домашней сети.Это делается путем ручного присвоения MAC-адресов устройствам с белыми метками из веб-интерфейса маршрутизатора. Например, вы можете предоставить административный доступ только 2 устройствам, вашему основному компьютеру и вашему смартфону. Это не позволит никому, кроме вас, получить такой уровень доступа в вашу сеть.

Шаг 13. Активируйте дополнительные функции безопасности вашего маршрутизатора

Маршрутизаторы нового поколения

имеют как встроенные, так и более продвинутые функции безопасности. Если ваше устройство позволяет это, я рекомендую активировать их все, чтобы еще больше повысить безопасность вашей домашней сети.

Что касается основных функций безопасности, то есть три основных, с которыми вы столкнетесь на специальной вкладке веб-интерфейса вашего маршрутизатора.

• Межсетевой экран с инспекцией пакетов (SPI), который отслеживает ваши сеансы и проверяет весь трафик, проходящий через сеть. Эта функция включена по умолчанию, поэтому оставьте ее, если хотите предотвратить кибератаку.
• Виртуальная частная сеть (VPN) , которую необходимо включить, если вы хотите разрешить туннелям VPN, использующим соответствующие протоколы, проходить через вашу домашнюю сеть.
• Application Layer Gateway (ALG ), который всегда следует активировать, поскольку он позволяет вам настроить, какие протоколы данных управления приложениями проходят через вашу сеть через фильтры преобразования сетевых адресов (NAT).

После включения этих трех уровней защиты вам также следует взглянуть на раздел «Дополнительно» в настройках безопасности вашего устройства. Это защитит ваш маршрутизатор от атак с наводнением трафика.

На некоторых веб-сайтах также упоминается отключение функции DHCP на маршрутизаторе , но я настоятельно рекомендую оставить ее включенной.Если этот параметр отключен, вам придется вручную назначать IP-адрес для каждого подключенного устройства от самого устройства, а не от администратора маршрутизатора.

Отключение маршрутизатора — еще один часто упоминаемый совет, который устарел в сегодняшней цифровой среде, поскольку он сводит на нет всю цель IoT. Когда вы выходите из дома, вам, естественно, захочется иметь возможность следить за камерами наблюдения или включать кондиционер и отопление, прежде чем вы вернетесь домой, и так далее.

При таком большом количестве подключенных устройств в наших домах это может быть утомительной задачей, и, если ее не сделать должным образом, возникнут конфликты IP-адресов и проблемы с подключением.Не говоря уже о том, что для большинства устройств Интернета вещей вы не можете даже вручную назначить IP-адрес, что делает этот метод устаревшим для современных домашних сетей.

Ни одна из этих мер не является пуленепробиваемой, но их применение — хорошее начало для повышения безопасности вашей домашней сети. Все они могут быть обойдены знающим человеком. Делайте все возможное, чтобы не стать прямой мишенью.

Повышение защиты каждого устройства, подключенного к маршрутизатору

1. Используйте надежный антивирус

Как я уже упоминал во введении к этой статье, усиление маршрутизатора Wi-Fi — это всего лишь один из компонентов безопасности домашней сети.Чтобы еще больше защитить свои домашние устройства от хакеров, вам необходимо усилить защиту на каждом из них.

Наиболее доступной отправной точкой для этого является установка надежного антивирусного решения. AV — одно из наиболее распространенных решений для кибербезопасности для домашних пользователей, предназначенное для предотвращения, обнаружения и блокировки проникновения вредоносного кода на компьютеры. Это достигается путем постоянного сканирования файлов, попадающих на ваши устройства, на предмет наличия базы данных известных вирусов и других типов вредоносных программ.

2. Исправьте программное обеспечение

Непропатченное программное обеспечение — одна из наиболее распространенных уязвимостей, которые хакеры используют для незаконного проникновения в вашу домашнюю сеть. Чтобы злоумышленники не могли воспользоваться уязвимыми приложениями, вам необходимо обновлять свои устройства.

К сожалению, это то, что многие люди постоянно упускают из виду, так как это может привести к серьезным нарушениям и отнять у них много времени. Heimdal ™ Threat Prevention Home может помочь вам значительно упростить процесс и снизить этот риск в вашей семье.

Heimdal ™ Threat Prevention Home гарантирует безопасность связи!

Ваши родители и друзья перейдут по любой подозрительной ссылке, поэтому убедитесь, что они защищены.

Heimdal ™ Threat Prevention Home предоставляет: Автоматические и бесшумные обновления программного обеспечения Умная защита от вредоносных программ Совместимость с любым традиционным антивирусом.

БЕЗОПАСНЫЙ ПОИСК ОНЛАЙН!

Попробуйте бесплатно

30-дневная бесплатная пробная версия

Threat Prevention Home устанавливает исправления безопасности и исправления функций сразу после их выпуска соответствующими разработчиками.Он делает это с минимальными перерывами и без перезагрузки, эффективно закрывая 85% брешей в безопасности вашего устройства.

3. Установите решение VPN

Установка виртуальной частной сети (VPN) является отличным дополнением безопасности для домашних устройств, которые вы используете чаще всего. Создавая частную сеть из общедоступного соединения, он позволяет вам безопасно пользоваться Интернетом и сохранять конфиденциальность ваших данных. Таким образом, злоумышленникам будет очень сложно выследить вас в Интернете.

Как я упоминал в предыдущем сегменте статьи, некоторые маршрутизаторы позволяют запускать VPN непосредственно на них. Если у вас есть эта функция, это означает, что у вас есть быстрый и простой способ защитить каждое устройство, которое подключается к вашей домашней сети. Тем не менее, некоторые маршрутизаторы не поддерживают эту функцию.

Одним из решений для запуска VPN на маршрутизаторе, который не поддерживает эту встроенную функцию, является DD-WRT, прошивка с открытым исходным кодом, которая добавляет дополнительные функции вашему устройству.Он делает это, выступая в качестве административной платформы, где микропрограммное обеспечение маршрутизатора переписывается для получения дополнительных преимуществ.

Об этом следует помнить, поскольку это означает, что вы потеряете гарантию, если устройство будет новым. Кроме того, он совместим не со всеми существующими марками и моделями, но вы можете найти полный список на веб-сайте.

В идеале вам следует запустить VPN как на наиболее часто используемых устройствах, так и на маршрутизаторе. Таким образом, вы не только обеспечите безопасность домашней сети, но и убедитесь, что ваш ноутбук или смартфон защищены при подключении извне.

4. Не забываем про фильтрацию DNS-трафика

Еще один способ повысить безопасность подключенных устройств в домашней сети — это фильтрация DNS. Благодаря этому процессу вы можете легко блокировать вредоносные веб-сайты, а также проверять небезопасный или неприемлемый контент.

Помимо остановки кибер-злоумышленников, это решение также удобно при настройке таких фильтров, как родительский контроль. Наш Дом по предотвращению угроз Heimdal ™ также может помочь вам в этом.

5.Изучите устройства IoT, прежде чем покупать их

Вы хотите добавить новое устройство IoT в свою домашнюю сеть? Чтобы поддерживать надлежащий уровень безопасности вашего соединения, обязательно заранее тщательно изучите его. Получение камеры наблюдения или умной швабры может показаться простым, но эти устройства могут иметь множество уязвимостей в их прошивке.

Последние мысли

Защита домашней сети должна быть главным приоритетом для каждого из нас, кто заинтересован в сохранении безопасности данных.Эти шаги могут быть действительно полезны даже для тех, кто не разбирается в технологиях. Кроме того, не забывайте, что безопасность вашей беспроводной сети иногда может быть слабой и подверженной атакам.

Вот почему я написал это руководство о том, как защитить вашу беспроводную сеть и подключенные к ней устройства. Следуя содержащимся в нем советам, вы повысите безопасность своей домашней сети и предотвратите как можно больше кибератак. Конечно, ни один из этих методов не является безотказным, но они стоят того, чтобы максимально снизить риски угроз в вашем доме.

Если вам понравился этот пост, вам понравится наш информационный бюллетень.

Получайте новые статьи прямо на свой почтовый ящик

Последний раз редактировала Алина Джорджиана Петку, август 2021 г.

Защитите свою домашнюю сеть Wi-Fi / safecomputing.umich.edu

Управляя своими собственными Wi-Fi-подключениями дома, помните, что качества, которые делают Интернет доступным для вас, также делают его доступным для всех. Будьте умны и защитите свою сеть, чтобы защитить свою конфиденциальность, чтобы только те, кому вы разрешили, могли получить к ней доступ.

Существует два основных шага для защиты домашней сети Wi-Fi: (1) обновляйте свои устройства и (2) защищайте свой WiFi-роутер. Для получения конкретных инструкций см. Документацию вашего интернет-провайдера или производителя вашего устройства.

1. Обновите все свои устройства с выходом в Интернет, установив на них новейшие операционные системы, веб-браузеры и программное обеспечение безопасности. Сюда входят любые мобильные устройства, которые имеют доступ к вашей сети Wi-Fi, такие как устройства Интернета вещей (IoT), такие как термостат с подключением к Интернету, освещение, холодильник и т. Д.Программное обеспечение безопасности включает антивирусное или антивирусное программное обеспечение. Регулярно проверяйте свои устройства на наличие обновлений и поддерживайте их в актуальном состоянии. Дополнительные рекомендации см. В разделах «Защита мобильных устройств», «Защита персонального компьютера» и «Защита устройств Интернета вещей».
2. Защитите свой WiFi-роутер. Ваша сеть Wi-Fi создается путем подключения точки доступа в Интернет, например кабельного или DSL-модема, к маршрутизатору Wi-Fi. Настройки по умолчанию на вашем WiFi-роутере, такие как общий пароль, могут быть скомпрометированы. Вот способы защиты WiFi-роутера (при необходимости обратитесь к подробным инструкциям, прилагаемым к вашему роутеру):

• Измените имя своей сети Wi-Fi. Имя или идентификатор по умолчанию, передаваемый вашим маршрутизатором, назначается производителем. Измените его на имя, которое уникально для вас и не раскрывает информацию о модели или производителе.
• Измените предварительно установленный пароль для вашего роутера. Если оставить пароль по умолчанию неизменным, несанкционированный доступ к вашей сети будет намного проще.Выберите надежный пароль и храните его в надежном месте. Скорее всего, вам не нужно будет использовать этот пароль, если вы не решаете проблему с сетью или не меняете настройки маршрутизатора.
• Шифровать трафик WiFi. При выборе уровня безопасности маршрутизатора выберите защищенный доступ Wi-Fi II (WPA2), если он доступен, или защищенный доступ Wi-Fi (WPA). Эти уровни более безопасны, чем опция Wireless Equivalent Privacy (WEP).
• Отключить удаленное администрирование. Маловероятно, что вам понадобится доступ к настройкам маршрутизатора из удаленного места или из сети.
• Надежно установите маршрутизатор и ограничьте диапазон доступа. Не размещайте маршрутизатор в месте, где кто-либо может подключить сетевой кабель для получения доступа. Постарайтесь расположить его так, чтобы сигнал Wi-Fi достигал только тех мест, где вы хотите получить доступ.
• Используйте брандмауэр. Межсетевой экран — это система сетевой безопасности, которая отслеживает и контролирует входящий и исходящий трафик на основе заранее определенных правил безопасности. Он устанавливает барьер между вашей внутренней сетью и внешним Интернетом.Ваша операционная система и / или программное обеспечение безопасности, вероятно, поставляется с предустановленным брандмауэром. Убедитесь, что он включен.

Защита беспроводных сетей | CISA

Беспроводные сети создают дополнительные риски безопасности. Если у вас есть беспроводная сеть, обязательно примите соответствующие меры для защиты вашей информации.

В современном мире подключений почти у каждого есть хотя бы одно подключенное к Интернету устройство. Поскольку количество этих устройств растет, важно реализовать стратегию безопасности, чтобы минимизировать их потенциал для эксплуатации (см. Защита Интернета вещей).Устройства, подключенные к Интернету, могут использоваться злоумышленниками для сбора личной информации, кражи личных данных, компрометации финансовых данных и молчаливого прослушивания или наблюдения за пользователями. Принятие некоторых мер предосторожности при настройке и использовании ваших устройств может помочь предотвратить подобные действия.

Каковы риски для вашей беспроводной сети?

Будь то домашняя или бизнес-сеть, риски для незащищенной беспроводной сети одинаковы. Некоторые из рисков включают:

Компоновка

Если вы не можете защитить свою беспроводную сеть, любой, у кого есть беспроводной компьютер в пределах досягаемости вашей точки доступа, может использовать ваше соединение.Типичный диапазон внутреннего вещания точки доступа составляет 150–300 футов. На открытом воздухе этот диапазон может достигать 1000 футов. Итак, если ваш район плотно заселен, или если вы живете в квартире или кондоминиуме, отсутствие защиты вашей беспроводной сети может открыть ваше интернет-соединение для многих непреднамеренных пользователей. Эти пользователи могут заниматься незаконной деятельностью, отслеживать и перехватывать ваш веб-трафик или красть личные файлы.

Вардрайвинг

Вардрайвинг — это особый вид совмещения транспорта.Радиус действия точки беспроводного доступа может сделать подключение к Интернету доступным за пределами вашего дома, даже на улице. Опытные пользователи компьютеров знают об этом, и некоторые из них сделали хобби ездить по городам и районам с компьютером с беспроводным подключением — иногда с мощной антенной — в поисках незащищенных беспроводных сетей. Эта практика известна как «вардрайтинг».

Evil Twin Attacks

При атаке злого близнеца злоумышленник собирает информацию о точке доступа к общедоступной сети, а затем настраивает свою систему, чтобы выдать себя за нее.Злоумышленник использует широковещательный сигнал более сильный, чем тот, который генерируется законной точкой доступа; затем ничего не подозревающие пользователи подключаются, используя более сильный сигнал. Поскольку жертва подключается к Интернету через систему злоумышленника, злоумышленник может легко использовать специализированные инструменты для чтения любых данных, которые жертва отправляет через Интернет. Эти данные могут включать номера кредитных карт, комбинации имени пользователя и пароля и другую личную информацию. Перед использованием всегда подтверждайте имя и пароль общедоступной точки доступа Wi-Fi.Это гарантирует, что вы подключаетесь к надежной точке доступа.

Беспроводное сниффинг

Многие точки общественного доступа не защищены, и передаваемый ими трафик не зашифрован. Это может поставить под угрозу ваши конфиденциальные сообщения или транзакции. Поскольку ваше соединение передается «в открытом виде», злоумышленники могут использовать инструменты сниффинга для получения конфиденциальной информации, такой как пароли или номера кредитных карт. Убедитесь, что все точки доступа, которые вы подключаете, используют шифрование не ниже WPA2.

Несанкционированный доступ к компьютеру

Незащищенная общедоступная беспроводная сеть в сочетании с незащищенным общим доступом к файлам может позволить злоумышленнику получить доступ к любым каталогам и файлам, которые вы непреднамеренно сделали доступными для совместного использования. Убедитесь, что при подключении ваших устройств к общедоступным сетям вы запрещаете совместное использование файлов и папок. Разрешить совместное использование только в признанных домашних сетях и только тогда, когда это необходимо для обмена элементами. Если в этом нет необходимости, убедитесь, что общий доступ к файлам отключен. Это поможет предотвратить доступ неизвестных злоумышленников к файлам вашего устройства.

Серфинг по плечу

В общественных местах злоумышленники могут просто оглянуться через ваше плечо, пока вы печатаете. Просто наблюдая за вами, они могут украсть конфиденциальную или личную информацию. Защитные пленки, которые мешают серфингистам увидеть экран вашего устройства, можно купить за небольшие деньги. Для небольших устройств, таких как телефоны, внимательно следите за своим окружением при просмотре конфиденциальной информации или вводе паролей.

Кража мобильных устройств

Не все злоумышленники рассчитывают получить доступ к вашим данным по беспроводной сети.Физически воруя ваше устройство, злоумышленники могут получить неограниченный доступ ко всем его данным, а также ко всем подключенным облачным учетным записям. Принятие мер по защите ваших устройств от потери или кражи важно, но в худшем случае небольшая подготовка может защитить данные внутри. Большинство мобильных устройств, включая портативные компьютеры, теперь имеют возможность полностью зашифровать свои хранимые данные, что делает устройства бесполезными для злоумышленников, которые не могут предоставить правильный пароль или персональный идентификационный номер (PIN).Помимо шифрования содержимого устройства, также рекомендуется настроить приложения вашего устройства так, чтобы они запрашивали данные для входа, прежде чем разрешать доступ к любой облачной информации. Наконец, индивидуально зашифруйте или защитите паролем файлы, содержащие личную или конфиденциальную информацию. Это обеспечит еще один уровень защиты в случае, если злоумышленник сможет получить доступ к вашему устройству.

Что вы можете сделать, чтобы минимизировать риски для вашей беспроводной сети?

• Изменить пароли по умолчанию. Большинство сетевых устройств, включая точки беспроводного доступа, предварительно настроены с паролями администратора по умолчанию для упрощения настройки. Эти пароли по умолчанию легко доступны для получения в Интернете, поэтому они обеспечивают лишь минимальную защиту. Изменение паролей по умолчанию затрудняет доступ злоумышленников к устройству. Использование и периодическая смена сложных паролей — ваша первая линия защиты вашего устройства. (См. Выбор и защита паролей.)
• Ограничить доступ. Разрешить доступ к сети только авторизованным пользователям. Каждая часть оборудования, подключенная к сети, имеет адрес управления доступом к среде (MAC). Вы можете ограничить доступ к своей сети, отфильтровав эти MAC-адреса. Конкретную информацию о включении этих функций см. В пользовательской документации. Вы также можете использовать «гостевую» учетную запись, которая широко используется на многих беспроводных маршрутизаторах. Эта функция позволяет предоставлять гостям беспроводной доступ по отдельному беспроводному каналу с отдельным паролем, сохраняя при этом конфиденциальность ваших основных учетных данных.
• Зашифруйте данные в своей сети. Шифрование ваших беспроводных данных предотвращает их просмотр любым, кто может получить доступ к вашей сети. Для обеспечения этой защиты доступно несколько протоколов шифрования. Защищенный доступ Wi-Fi (WPA), WPA2 и WPA3 шифруют информацию, передаваемую между беспроводными маршрутизаторами и беспроводными устройствами. WPA3 в настоящее время является самым надежным шифрованием. WPA и WPA2 по-прежнему доступны; однако рекомендуется использовать оборудование, которое специально поддерживает WPA3, поскольку использование других протоколов может оставить вашу сеть открытой для эксплуатации.
• Защитите свой идентификатор набора услуг (SSID). Чтобы предотвратить доступ посторонних к вашей сети, не разглашайте свой SSID. Все маршрутизаторы Wi-Fi позволяют пользователям защищать SSID своего устройства, что затрудняет поиск сети злоумышленниками. По крайней мере, измените свой SSID на что-нибудь уникальное. Если оставить его по умолчанию, это может позволить потенциальному злоумышленнику определить тип маршрутизатора и, возможно, воспользоваться любыми известными уязвимостями.
• Установите брандмауэр. Рассмотрите возможность установки брандмауэра непосредственно на беспроводных устройствах (брандмауэр на основе хоста), а также в домашней сети (брандмауэр на основе маршрутизатора или модема). Злоумышленники, которые могут напрямую подключиться к вашей беспроводной сети, могут обойти ваш сетевой брандмауэр — брандмауэр на основе хоста добавит уровень защиты к данным на вашем компьютере (см. Общие сведения о брандмауэрах для дома и малого офиса).
• Поддерживать антивирусное программное обеспечение. Установите антивирусное программное обеспечение и регулярно обновляйте определения вирусов.Многие антивирусные программы также имеют дополнительные функции, которые обнаруживают или защищают от шпионского и рекламного ПО (см. Защита от вредоносного кода и Что такое кибербезопасность?).
• Используйте общий доступ к файлам с осторожностью. Обмен файлами между устройствами должен быть отключен, когда он не нужен. Вы всегда должны разрешать общий доступ к файлам только в домашних или рабочих сетях, а не в общедоступных сетях. Возможно, вы захотите создать специальный каталог для совместного использования файлов и ограничить доступ ко всем другим каталогам.Кроме того, вы должны защищать паролем все, чем вы делитесь. Никогда не открывайте весь жесткий диск для обмена файлами (см. Выбор и защита паролей).
• Регулярно обновляйте программное обеспечение точки доступа. Производитель вашей точки беспроводного доступа будет периодически выпускать обновления и исправления для программного обеспечения и прошивки устройства. Не забудьте регулярно проверять веб-сайт производителя на наличие обновлений или исправлений для вашего устройства.
• Проверьте параметры безопасности беспроводной сети вашего интернет-провайдера или производителя маршрутизатора. Ваш интернет-провайдер и производитель маршрутизатора могут предоставить информацию или ресурсы для помощи в обеспечении безопасности вашей беспроводной сети. Посетите раздел поддержки клиентов на их веб-сайтах для получения конкретных предложений или инструкций.
• Подключитесь с помощью виртуальной частной сети (VPN). Многие компании и организации имеют VPN. VPN позволяют сотрудникам безопасно подключаться к своей сети, когда они находятся вне офиса. VPN шифруют соединения на отправляющей и принимающей сторонах и не пропускают трафик, который не зашифрован должным образом.Если вам доступна VPN, обязательно заходите в нее каждый раз, когда вам понадобится общедоступная точка беспроводного доступа.

Private WiFi — Защитите свою личность и конфиденциальную информацию в любой общедоступной сети Wi-Fi с помощью Personal VPN

Икс

Введите свой адрес электронной почты

, чтобы загрузить Private WiFi. Скачать>

Новые клиенты: для активации бесплатной пробной версии требуется адрес электронной почты. Мы никогда не передадим ваш адрес электронной почты третьим лицам.Ознакомьтесь с Политикой конфиденциальности частной сети Wi-Fi.

Сигналы общедоступной сети Wi-Fi не шифруются.

• Легкая мишень

  Ни одна общественная точка доступа Wi-Fi в мире не является безопасной.

• Взлом вашего сигнала

  Любой, кто использует ту же точку доступа, может перехватить сигнал WiFi вашего ПК.

• Ваша информация раскрыта

  Информация о вашем банке или кредитной карте, а также личные сообщения электронной почты могут быть украдены из воздуха.

Частный Wi-Fi делает вас невидимым.

• Зашифровать все

  Приложение шифрует все входящие и исходящие данные вашего смартфона.

• Беспокойство

  Уверенно просматривайте страницы, делитесь ими, делайте покупки и банковские операции в Интернете.

• Работает везде

  Получите безопасность банковского уровня в любой точке доступа в любой точке мира.

Как это работает

• Проверенная техника

  Private WiFi — это виртуальная частная сеть (VPN) с 256-битной защитой данных на уровне банка.

• Полная анонимность

  Private WiFi перенаправляет ваши данные через зашифрованный сервер в другое место, делая вас анонимным.

  Простота активации и управления учетной записью.

• Простота использования

  Простота активации и управления учетной записью.

  Перенаправляет ваши данные через зашифрованный сервер в другое место, делая вас анонимным.

Защитите все свои устройства с помощью одного плана.

Private WiFi дает вам больше выбора.
Выберите план, который вам больше всего подходит.

Pay-As-You-Go

1 ГБ данных
Любое количество устройств
1,99 $
Купить сейчас 10 ГБ данных
Любое количество устройств
7,99 $
Купить сейчас

Ежемесячно

Безлимитный Интернет
1 устройство
$ 2,99
Купить сейчас Безлимитный Интернет
До 3 устройств
9,99 $
Купить сейчас Безлимитный Интернет
До 5 устройств
12 $.99
Купить сейчас Ежегодный Безлимитный Интернет
1 устройство
$ 29,99
Купить сейчас Безлимитный Интернет
До 3 устройств
79,99 $
Купить сейчас Безлимитный Интернет
До 5 устройств
$ 99,99
Купить сейчас

Также доступно для Windows и Mac OS X

Что вы получите

Зашифруйте свое Интернет-соединение Защитите все свои устройства по одной низкой цене 256-битная защита данных на уровне банка
Работает в любой точке мира, в любой точке доступа Wi-Fi Легко установить Активируется автоматически 8:00 — 12:00 EST M-F Служба поддержки клиентов по электронной почте
Гарантия возврата денег

Икс

Введите свой адрес электронной почты, чтобы

загрузить Private WiFi. Скачать>

Новые клиенты: для активации вашей учетной записи Private WiFi требуется адрес электронной почты.

Мы никогда не передадим ваш адрес электронной почты третьим лицам. Ознакомьтесь с Политикой конфиденциальности частной сети Wi-Fi.

Сигналы общедоступной сети Wi-Fi не шифруются.

• Легкая мишень

  Ни одна общественная точка доступа Wi-Fi в мире не является безопасной.

• Взлом вашего сигнала

  Любой, кто использует ту же точку доступа, может перехватить сигнал WiFi вашего ПК.

• Ваша информация раскрыта

  Информация о вашем банке или кредитной карте, а также личные сообщения электронной почты могут быть украдены из воздуха.

Частный Wi-Fi делает вас невидимым.

• Зашифровать все

  Приложение шифрует все входящие и исходящие данные вашего смартфона.

• Беспокойство

  Уверенно просматривайте страницы, делитесь ими, делайте покупки и банковские операции в Интернете.

• Работает везде

  Получите безопасность банковского уровня в любой точке доступа в любой точке мира.

Как это работает

• Проверенная техника

  Private WiFi — это виртуальная частная сеть (VPN) с 256-битной защитой данных на уровне банка.

• Полная анонимность

  Private WiFi перенаправляет ваши данные через зашифрованный сервер в другое место, делая вас анонимным.

  Простота активации и управления учетной записью.

• Простота использования

  Простота активации и управления учетной записью.

  Перенаправляет ваши данные через зашифрованный сервер в другое место, делая вас анонимным.

Защитите все свои устройства с помощью одного плана.

Private WiFi дает вам больше выбора. Выберите план, который вам больше всего подходит.

Pay-As-You-Go

1 ГБ данных
Любое количество устройств
1,99 $
Купить сейчас 10 ГБ данных
Любое количество устройств
7,99 $
Купить сейчас

Ежемесячно

Безлимитный Интернет
1 Устройство
2 доллара США.99
Купить сейчас Безлимитный Интернет
До 3 устройств
9,99 $
Купить сейчас Безлимитный Интернет
До 5 устройств
$ 12,99
Купить сейчас Ежегодный Безлимитный Интернет
1 устройство
$ 29,99
Купить сейчас Безлимитный Интернет
До 3 устройств
79,99 $
Купить сейчас Безлимитный Интернет
До 5 устройств
$ 99,99
Купить сейчас

Также доступно для Windows и Mac OS X

Что вы получите

Зашифруйте свое Интернет-соединение Защитите все свои устройства по одной низкой цене 256-битная защита данных на уровне банка
Работает в любой точке мира, в любой точке доступа Wi-Fi Легко установить Активируется автоматически 8:00 — 12:00 EST M-F Служба поддержки клиентов по электронной почте
Гарантия возврата денег

Икс

Введите свой адрес электронной почты, чтобы

загрузить Private WiFi. Скачать>

Новые клиенты: для активации вашей учетной записи Private WiFi требуется адрес электронной почты.

Мы никогда не передадим ваш адрес электронной почты третьим лицам. Ознакомьтесь с Политикой конфиденциальности частной сети Wi-Fi.

В общедоступной сети Wi-Fi ваша личная информация

— легкая цель. Частный Wi-Fi защищает вас.

Зачем это нужно>

Сигналы общедоступной сети Wi-Fi в отелях, кафе и аэропортах небезопасны.Любой, кто использует ту же точку доступа, может перехватить и взломать ваше общение. Ваши имена пользователей, пароли и другая личная информация могут быть украдены из воздуха.

---

Как это работает>

Private WiFi защищает вашу личность и личную информацию, шифруя сигнал WiFi. Все, что вы делаете в Интернете, защищено безопасностью на уровне банка, поэтому вы можете с уверенностью просматривать страницы, делиться ими, делать покупки и банковские операции.

Совместим с

Ноутбуки

• ПК с Windows 8.1 * или Windows 10.
• MacOS 10.10 и выше.

Планшеты и смартфоны

• iPhone, iPad и iPod под управлением iOS 10 или выше.
• Телефоны и планшеты Android с версией 6 или выше.

Защитите все свои устройства с помощью одного плана.

Private WiFi дает вам больше выбора. Выберите план, который вам больше всего подходит.

Pay-As-You-Go

1 ГБ данных
Любое количество устройств
1 доллар США.99
Купить сейчас 10 ГБ данных
Любое количество устройств
7,99 $
Купить сейчас

Ежемесячно

Безлимитный Интернет
1 устройство
$ 2,99
Купить сейчас Безлимитный Интернет
До 3 устройств
9,99 $
Купить сейчас Безлимитный Интернет
До 5 устройств
$ 12,99
Купить сейчас Ежегодный Безлимитный Интернет
1 устройство
$ 29,99
Купить сейчас Безлимитный Интернет
До 3-х устройств
79 $.99
Купить сейчас Безлимитный Интернет
До 5 устройств
$ 99,99
Купить сейчас

Что они говорят
«» —

Что вы получите

Зашифруйте свое Интернет-соединение Защитите все свои устройства по одной низкой цене 256-битная защита данных на уровне банка
Работает в любой точке мира, в любой точке доступа Wi-Fi Легко установить Активируется автоматически 8:00 — 12:00 EST M-F Служба поддержки клиентов по электронной почте
Гарантия возврата денег

Икс

Введите свой адрес электронной почты, чтобы

загрузить Private WiFi. Скачать>

Новые клиенты: для активации вашей учетной записи Private WiFi требуется адрес электронной почты.

Мы никогда не передадим ваш адрес электронной почты третьим лицам. Ознакомьтесь с Политикой конфиденциальности частной сети Wi-Fi.

лучших приложений для обеспечения безопасности телефона для Wi-Fi 2021

В наше время бесплатный Wi-Fi предпочтительнее бесплатной еды. А чтобы воспользоваться бесплатным Wi-Fi, люди охотно подключают свои устройства к любой доступной сети Wi-Fi, не задумываясь о том, безопасна она или нет! Такая привычка может привести к попаданию в мутную воду.

Риск проникновения вашего устройства в результате кибератаки очень высок, когда вы подключены к сети Wi-Fi. Любая кибератака может сделать вашу личность уязвимой и привести к потере важных и конфиденциальных данных. И в большинстве случаев шансы когда-либо восстановить потерянные данные будут нулевыми.

Чтобы избежать подобных неприятностей, настоятельно рекомендуется установить на устройство приложение безопасности Wi-Fi. Ниже приведен список самых популярных приложений с указанием того, как они могут защитить вас от кибератак:

Лучшие приложения для Android

Wi-Fi-пароль

Сложно создать разные пароли для каждого из ваших устройств.Еще сложнее сделать так, чтобы пароль был сложным и его было трудно угадать хакеру. Но не волнуйтесь — Wifi-Password здесь, чтобы спасти вас!

Это приложение позволяет генерировать случайные и сложные пароли, которые вы можете использовать для своей сети Wi-Fi, а также для подключенных к ней устройств. Самое приятное то, что это приложение предоставляет встроенную функцию для сохранения этих паролей, поэтому вам даже не нужно их запоминать.

Инспектор Wi-Fi

Следующее лучшее приложение для безопасности вашего Android Wi-Fi — Wifi Inspector.Это бесплатное приложение для отслеживания вашей сети Wi-Fi, которое позволяет вам видеть все подключенные устройства, включая Интернет вещей и интеллектуальные устройства. Он даже показывает их IP-адреса и MAC-адреса и позволяет вам контролировать и управлять каждым устройством индивидуально.

Хотя он не предоставляет много подробных функций, он занимает очень мало места. Это не снижает производительность вашего устройства и выполняет все, что обещает.

Устройство защиты Wi-Fi Pro

Для пользователей, которые живут в технически подкованных районах, это приложение просто необходимо для защиты ваших устройств на базе Android.Это позволяет пользователям оставаться в безопасности от всех видов атак, связанных с протоколом разрешения адресов, таких как атаки типа «отказ в обслуживании» или «Человек посередине». Это приложение немедленно блокирует ваше устройство во время атаки, позволяя пользователям сохранять свои данные в безопасности и защите.

Лучшие приложения для iOS

Безопасный Wi-Fi

Это приложение творит чудеса, когда дело доходит до защиты данных, передаваемых между вашим устройством и маршрутизатором Wi-Fi. Приложение автоматически активируется только при обнаружении незащищенной сети, к которой подключен ваш iPhone или iPad.

С этим приложением хакерам и перехватчикам становится сложно захватить ваш сеанс, украсть ваши данные или завладеть вашей личностью и учетными данными.

Гражданская безопасная идентификация Пользователям iPhone

больше не нужно беспокоиться о том, что неизвестные устройства подключаются к их домашним сетям Wi-Fi. Установив это приложение на свои устройства, пользователи могут оставаться защищенными от всех видов атак Wi-Fi.

Вы получаете постоянные обновления и уведомления всякий раз, когда ваш маршрутизатор Wi-Fi взломан, взломан или атакован.Более того, если ваш iPhone украдут, вы будете постоянно получать обновления о его местонахождении и местонахождении.

Защита точки доступа Wi-Fi

Без этого приложения, установленного на вашем iPhone, практически невозможно защитить ваши личные и конфиденциальные данные. Он удерживает киберпреступников и защищает вашу конфиденциальную информацию, такую ​​как данные кредитной карты, электронные письма, пароли и изображения.

Приложение творит чудеса, уведомляя пользователя о взломанных или незащищенных сетях Wi-Fi, которые могут поставить под угрозу безопасность и привести к потере данных.Wi-Fi Hotspot Protector по умолчанию шифрует все ваши сообщения, защищая вас от злоумышленников и хакеров всех мастей.

Лучшие приложения для обеспечения безопасности для Windows

Wi-Fi радар

Выявление и устранение проблем с сетью Wi-Fi у вас дома или в офисе никогда не было простым. Однако это приложение отлично подходит для увеличения мощности сигнала от вашего маршрутизатора без необходимости в дополнительном оборудовании.

Прошли те времена, когда далекие углы вашего дома почти не получали сигнала, что делало вашу работу в сети затруднительной.Установив это приложение на свой ноутбук, вы всегда будете получать сигналы в полную силу.

FakeAP

Это лучшее приложение на рынке, которое может защитить вас от вардрайверов. Вардрайвинг — это когда кто-то приближается к беспроводной сети и пытается взломать ее с помощью специального оборудования.

Это приложение создает несколько фальшивых сетей, чтобы запутать вардрайтеров, к какой сети подключаться. Это очень помогает в обеспечении безопасности и надежности вашей сети Wi-Fi.

GlassWire Pro

GlassWire — замечательное приложение, которое позволяет вам управлять своей сетью Wi-Fi самым простым способом. Он предлагает множество функций, таких как возможность проверять, кто использует ваш Wi-Fi, и блокировать любых подозрительных пользователей. Он также показывает подробный график, который позволяет отслеживать подключенные устройства за определенный период времени.

Но это еще не все. Приложение также позволяет отслеживать ваши веб-камеры, камеры и микрофоны на ваших интеллектуальных устройствах на предмет любых подозрительных вторжений или взломов.В случае вторжения вы будете немедленно уведомлены, что даст вам достаточно времени для защиты вашей сети и устройств.

Лучшие приложения для обеспечения безопасности для Mac

NetSpot

Это отличное программное обеспечение предоставляет отличную информацию и статистику о покрытии и производительности Wi-Fi. Он отображает тепловые карты и мертвые зоны в вашей сети Wi-Fi, что позволяет оптимизировать расположение точек доступа.

NetSpot также позволяет пользователям оценить свой интерфейс беспроводной ЛВС и определить, могут ли предпочтительные беспроводные каналы лучше работать с доступными точками доступа.Он также может устранять проблемы и улучшать покрытие беспроводной сети за счет повышения производительности и мощности сигнала.

WiFi проводник

Wi-Fi Explorer — лучший инструмент для поиска проблем, которые могут поставить под угрозу вашу сеть или ограничить ее производительность. Он обеспечивает подробный анализ проблем в сети Wi-Fi, таких как конфликты каналов, несанкционированные точки доступа, а также проблемы перекрытия и конфигурации.

Он также позволяет вам постоянно контролировать мощность вашей сети и позволяет экспортировать подробный отчет в формате CSV, который пригодится для диагностики и устранения неполадок вашей сети.

KisMAC

KisMAC — отличный анализатор Wi-Fi для Mac OS. Он может отображать беспроводные сети и предоставлять подробную информацию об их производительности, а также о проблемах. Кроме того, вы можете просматривать всех клиентов и SSID в пределах вашего диапазона, даже если они скрыты от вас.

Это приложение имеет встроенную поддержку Apple AirPort Extreme, а также многих других USB-устройств, что делает его незаменимым инструментом.

Бонусное приложение

PureVPN

Ведущий провайдер VPN, PureVPN доступен на всех популярных ОС (Android, iOS, Mac, Windows и Linux).Он обеспечивает максимальную безопасность для своих пользователей, делая их анонимными в сети и шифруя все их данные. Это полноценный инструмент кибербезопасности, который защищает вас от всех видов кибератак и вредоносных программ.

PureVPN также доступен в виде апплета DD-WRT, который можно интегрировать с вашим маршрутизатором Wi-Fi.