Как обеспечить безопасность локальной сети и настроить защиту роутера от взлома через интернет

Использование SoftPerfect WiFi Guard на Windows, Linux и macOS

Программа работает на всех устройствах примерно одинаково, потому мы покажем на примере macOS. Познакомившись с инструкцией, вы без проблем запустите программу на Windows или Linux.

Для начала работы скачайте и установите у себя SoftPerfect WiFi Guard. При запуске WiFi Guard вам сразу будет предложено настроить программу. Здесь главное – выбрать сетевой адаптер Wi-Fi. 

Перейдем к сканированию сети. Не пугайтесь, если при первом сканировании система обнаружит у вас в сети неизвестные устройства. Для программы сейчас все устройства – неизвестные, кроме вашего компьютера, с которого запущено сканирование. Вероятно, найденные неизвестные устройства – это ваши телефоны, планшеты или устройства членов вашей семьи.

Как это проверить? По MAC-адресу: сравнивая MAC-адреса обнаруженных устройств с MAC-адресами ваших устройств. Как узнать MAC-адрес своего устройства, читайте в этой главе.

Если все найденные устройства ваши, рекомендуем добавить их в белый список, чтобы в дальнейшем программа не помечала эти устройства как неизвестные и не поднимала тревогу при их обнаружении.

Выберите устройство, которое вам известно, дважды кликнув по его названию мышкой. В открывшейся форме выберите «Я знаю этот компьютер или устройство». Выбранное устройство будет  добавлено в белый список. 

Программа продолжит сканировать сеть и при обнаружении незнакомых устройств сразу уведомит вас о них. Мы рекомендуем периодически запускать проверку, например раз в неделю, а вот вести ли постоянное регулярное сканирование – это уже ваш выбор. Для безопасности это, безусловно, большой плюс, так как при ручной регулярной проверке есть вероятность, что в момент сканирования злоумышленник не будет подключен к сети.

Совет

Регулярно (раз в неделю и чаще) проводите сканирование Wi-Fi сети на предмет незваных гостей.

Есть еще один интересный показатель – пинг. Он поможет выяснить, как долго идет сигнал от исследуемого роутера до обнаруженного устройства и, соответственно, как далеко от роутера оно расположено. Первым делом определите пинг до роутера от устройства, с которого осуществляется сканирование, в моем случае это 9 мс. Пинг от моего компьютера до неизвестного устройства 19 мс, отсюда отнимаем пинг до роутера, и остается 10 мс, а это значит, что исследуемое устройство удалено от Wi-Fi роутера примерно так же, как и мой ноутбук, с которого проводилось сканирование.

Фильтрация устройств по IP адресу

Это еще более усовершенствованный способ. Здесь компьютеры будут отсеиваться не только по MAC, но и по их IP, назначенным для каждого вручную. Современные технологии позволяют подменить MAC, то есть узнав номер вашего гаджета, можно его сымитировать и войти, как будто это подключились вы сами. IP при этом по умолчанию раздается всем подключенным устройствам автоматически в рамках какого-то диапазона — это происходит за счет работы маршрутизатора в режиме так называемого DCHP сервера. Но мы можем его отключить и задать IP адреса для каждого вручную.

Давайте посмотрим, как это делается на практике. Для начала надо отключить DCHP сервер, который раздает адреса автоматически. Переходим в раздел «ЛВС» и открываем вкладку «DCHP-сервер». Здесь отключаем его («No» в первом пункте).

Далее прокручиваем вниз страницы и задаем для каждого устройства по его MAC собственный IP. Я задал для компа адрес 192.168.1.3.

После этого необходимо настроить каждый компьютер или иное устройство. Если вы используете Windows 7, то заходим в «Панель управления > Сеть и интернет > Центр управления сетями > Изменение параметров адаптера > Беспроводное соединения (или как оно там еще у вас называется)». Щелкаем по нему два раза , заходим в «Свойства > Протокол интернета версии 4 (TCP/IP)». Здесь у нас все параметры получались автоматом. Ставим галочку на «Использовать следующий IP» и задаем:

• IP — тот, который вы назначили при настройке роутера, то есть у меня это 192.168.1.3
• Маска — 255.255.255.0
• Шлюз — ip роутера, то есть по умолчанию на асусе это 192.168.1.1

Признаки подключения посторонних

На сегодняшний день, распространены два основных признака, которые указывают на то, что к Вайфай пользователя могли подключиться и получить доступ посторонние лица. Первым таким симптомом является резкое снижение пропускной способности соединения.

Практика показывает, что временное снижение скорости возможно по причине неполадок у провайдера, однако, это также может свидетельствовать о пользовании трафиком посторонних пользователей.

В качестве второго признака, заявляется возможное ограничение по доступу к различным сайтам с личного адреса IP.

Обратите внимание! Рекомендуется мониторить световой индикатор Wi-Fi подключения на корпусе маршрутизатора. Если отключить все персональные устройства от доступа, лампа не должна мигать или постоянно гореть

Такое поведение индикатора контроля доступа Wi-fi является основным признаком несанкционированного доступа.

Ставим пароль на Wi-Fi сеть и устанавливаем тип шифрования

В обязательном порядке, нужно указать тип шифрования, который вы будете использовать для сети, и установить надежный пароль. Ну разве что у вас какое-то кафе и вы хотите сделать открытый доступ к Wi-Fi для посетителей.

Переходим на вкладку “Wireless”, и “Wireless Security”. Возле протокола WPA/WPA2 – Personal ставим отметку, выставляем настройки как на скриншоте ниже и в строке, напротив “PSK Password:” придумываем хороший пароль. Этот пароль будет использоваться для подключения к Wi-Fi. Для сохранения нажимаем “Save”.

Роутер предложит перезагрузить его, но если вы еще буду вносить настройки, то можно пока не перезагружать. Но новые настройки будут работать только после перезагрузки.

Скрываем имя сети (SSID)

Еще один отличный способ защиты . Скрываем название Wi-Fi сети, и к ней можно будет подключится, только если знать как она называется. Ваша сеть не будет отображаться в списке доступных сетей.

Ищем и переходим на вкладку “Wireless”. И для того, что бы скрыть SSID, просто снимаем галочку с пункта “Enable SSID Broadcast”. Вот так, все просто. Нажимаем кнопку “Save” для сохранения изменений.

Включаем фильтрацию устройств по MAC адресу

Включение этой функции, позволит подключать к роутеру только те устройства, MAC адреса которых прописаны в настройках и разрешены. Это очень эффективная защита, но если вы часто подключаете новые устройства, то будет не очень удобно каждый раз заходить в настройки роутера и прописывать MAC адрес устройства.

Для начала нужно узнать MAC адреса устройств, которым вы хотите разрешить подключение к Wi-Fi сети. Их можно посмотреть в настройках, подробнее читайте тут. Если это телефон, или планшет, то можно посмотреть адрес в настройках, в разделе “О телефоне”. А если устройство уже подключено к роутеру, то всю необходимую информацию можно узнать на вкладке “DHCP” – “DHCP Clients List”.

Значит, заходим на вкладку “Wireless”, и переходим на “Wireless MAC Filtering”. Сначала включаем эту службу, нажав на кнопку “Enable”. Затем устанавливаем отметку возле пункта ” Allow the stations specified by any enabled entries in the list to access.”. Это значит, что к Wi-Fi, смогут подключаться только устройства, которые есть в списке.

И нажимаем кнопку “Add New… “, для того, что бы добавить MAC адреса устройств, которым нужно разрешить доступ. Вводим MAC адрес, описание (по желанию), оставляем статус Enable (разрешить) и нажимаем кнопку “Save”.

Таким способом добавляем все устройства, которым вы хотите разрешить подключаться к вашему роутеру.

Отключаем службу QSS (WPS)

Подробно об этой службе, и о том как ней пользоваться, я писал в статье Что такое QSS и WPS? Для чего нужна кнопка QSS на Wi-Fi роутере и как ей пользоваться. Но если вы не очень часто подключаете новые устройств и вам не сложно ввести пароль от Wi-Fi сети, то эту службу лучше отключить.

Для отключения, переходим на вкладку “QSS”, у вас она может называться еще “WPS”, или как-то так. И нажимаем кнопку “Disabled QSS”.

Это был последний пункт, который я советую сделать для полной защиты Wi-Fi сети на вашем роутере. Осталось только перезагрузить роутер, нажав на ссылку “click here”, или же сделать это кнопкой на самом роутере.

Вот и все друзья, это все, что я хотел вам посоветовать для защиты вашей беспроводной сети. Надеюсь, что информация, которую я для вас подготовил, вам пригодится. Удачи!

Используйте на своём роутере шифрование WPA2

Шифрование Wi-Fi гарантирует, что нежелательные пользователи будут иметь ограниченный доступ к вашему Wi-Fi и ко всем связанным с ним данным. У роутера может быть шифрование WEP, WPA и WPA2. В идеале лучше не использовать шифрование WEP и WPA, потому что они значительно устарели и могут быть с лёгкостью взломаны киберпреступниками .

Поэтому, проверяйте, работает ли на вашем роутере WPA2. Если на нём работает WEP или WPA, переключитесь на WPA2 как можно скорее.

Но безопасность заключается не только в WPA2. Хотя использовать WPA2 намного безопаснее, чем WPA и WEP, у WPA2 тоже есть уязвимость — атака KRACK (Атака с переустановкой ключа). Хотя эта уязвимость была обнаружена добрыми хакерами, ничто не мешает злоумышленникам использовать этот метод, чтобы взломать шифрование WPA2 на вашем роутере.

Рекомендуется регулярно обновлять прошивку, но и это не гарантирует полной защиты от кибератаки KRACK. К счастью, наконец-то будет выпущено шифрование WPA3, которое сможет закрыть эту уязвимость. До тех пор, пока он не станет доступным всем, соблюдайте остальные методы безопасности, о которых мы рассказывали в этой статье, вместе с использованием шифрования WPA2.

Устройства на админке маршрутизатора

Наиболее легкий способ определить, кто соединен с сетью — панель управления персонального маршрутизатора. Для этого следует зайти в интерфейс устройства. Для этого, в окне браузера требуется набрать IP-адрес маршрутизатора. Обычно, если не было изменений, то корректный адрес указан на корпусе прибора, например, 192.168.1.

Далее требуется ввести логин и пароль, которые также отображаются на корпусе. Довольно часто стандартные значения соответствуют admin/admin.

Последующие шаги зависят от компании производителя личного маршрутизатора. Однако, меню у всех практически идентичны. Например, у фирмы Asus необходимо в понели управления открыть раздел «Клиенты». Там будет указано точное количество подключенных устройств.

Факторы слежения

При помощи монитора локальной сети можно отслеживать ряд важных для работы маршрутизатора факторов:

• Статус роутера: всегда ли роутер раздает интернет или временами он отключается. Отследив конкретные часы простоя, можно выявить причину;
• Степень нагрузки: при слишком высокой нагрузке интернет может хуже работать, а то и вовсе отключиться;

Важно! Увеличение нагрузки может быть связано с увеличением количества подключенных устройств, например, при подключении компьютера соседей

• Трафик: программа может отследить, сколько пакетов данных проходит через роутер. Информацию можно получить как о беспроводной сети, так и о проводной;
• Уровень сигнала: низкий уровень сигнала может быть связан с малой мощностью маршрутизатора или удаленностью компьютера от него. Установив мониторинг, легко отследить уровень связи в конкретном помещении;
• Последний доступ: увидеть, когда с устройства было совершено последнее подключение к интернету. Это может быть полезно администратору в офисе: если компьютер подключался к сети ночью, когда персонала не было, вероятно, стоит внимательно проверить ПК.

Бывшая жена Армена Джигарханяна – Алла Ванновская

Молодые люди повстречались ещё в студенческие годы. Они были однокурсниками. Вскоре Алла и Армен стали жить вместе. Они были счастливы. Свой брак официально регистрировать не стали, несмотря на беременность Ванновской и рождения дочери Елены.

Вскоре после этого у молодой актрисы стали появляться психические отклонения. Сначала они практически не были заметны для окружающих. Но через какое-то время бывшая жена Армена Джигарханяна – Алла Ванновская попала в психиатрическую больницу. Армен забрал дочь и уехал от супруги. Через несколько месяцев женщина умерла. Бывший супруг никогда не ездил на её могилу, которая находится на одном из ереванских кладбищ.

Возможен ли перехват со скрытой сети

Абсолютное большинство пользователей придерживается мнения, что достигнуть высшего уровня безопасности wi-fi можно путем задания пароля для входа. Однако на практике оказалось, что данное мнение ошибочно.

Согласно проведенным исследованиям, был констатирован факт установления соединений между клиентом и доступной точкой и манипулированием трафиком согласования в сетях с WPA2 и WPA.

Механизм действий злоумышленников таков, что он реализует атаку посредника между клиентом и доступной точкой путем нарушения порядка приемки и отправки сообщений. В результате этого ему становится доступным частичное манипулирование отправкой сообщений и синхронизацией.

Тем не менее, защита WPA2 в настоящее время считается наиболее популярной. Это связано с тем, что большинство пользователей некомпетентны в области программирования, а также подобные хакерские атаки на хостинги обычных пользователей являются редкостью.

Как обеспечить безопасность Wi-Fi дома — вся суть

Домашняя сеть Wi-Fi — одна из самых удобных технологических разработок последних десятилетий. К сожалению, она не идеальна и имеет много уязвимостей. Поэтому, если вы хотите узнать, как защитить свой домашний Wi-Fi, вот что вы должны сделать:

• Включите фаервол на роутере. Если у него нет встроенного фаервола, установите аппаратный.
• Повысьте безопасность вашей сети с помощью антивируса и защиты от вредоносных программ.
• Настройте VPN на роутере для шифрования.
• Включите шифрование WPA2 на роутере, но имейте в виду, что это не на 100% безопасно.
• Поменяйте идентификатор SSID вашей сети, а также логин и пароль для входа в консоль управления роутера. Кроме того, по возможности отключите отображение SSID.
• Никому не давайте свой пароль от Wi-Fi. Вместо этого настройте гостевую сеть.
• Отключите WPS, UPnP, удалённый доступ и включите фильтрацию MAC-адресов во время использования Wi-fi.
• Убедитесь, что роутер не прослушивает порт 32764.
• Регулярно обновляйте прошивку роутера.
• Убедитесь, что все устройства, используемые для регулярного подключения к Wi-Fi, защищены.
• Разместите роутер в середине вашего дома, чтобы его сигнал не выходил за пределы вашего дома или квартиры.
• Если вы не используете Wi-Fi (например, когда вы спите, находитесь на работе или в отпуске), отключите её.

Настройка переадресации портов

В зависимости от модели роутера эта вкладка может называться

• Forwarding
• Port Forwarding
• Port mapping
• Переадресация портов
• другие варианты

Например, на рассматриваемом роутере эту вкладку я нашёл по пути Application → Port Forwarding:

Всего портов 1-65535 и роутеры позволяют делать переадресацию диапазонов, то есть 65 тысяч портов не придётся настраивать по одному.

Но есть очень важное замечание — мы не можем настроить переадресацию того порта, на котором работает веб-сервер роутера. То есть если роутер открывается на 80 порту, то этот порт должен стать исключением

Иначе произойдёт следующее: ни мы, ни даже владелец роутера больше не сможем попасть в панель администрирования роутера пока не будут сброшены настройки на заводские.

Обратите внимание, что некоторые роутеры работают не на 80, а на 8080 или 443 порте.

Итак, если веб-интерфейс роутера работает на 80 порту и мы хотим получить доступ к локальным ресурсам устройства с IP 192.168.1.2, то нам нужно установить следующие три правила:

• Переадресацию портов 1-79 на 1-79 порты адреса 192.168.1.2
• Переадресацию портов 81-65534 на 81-65534 порты адреса 192.168.1.2
• Переадресацию порта 65535 на 80 порт адреса 192.168.1.2

Первые два правила с диапазонами (надеюсь) очевидны. Третьим правилом мы перенаправляем запросы, пришедшие на порт 65535, на 80 порт локального компьютера, поскольку там может быть веб-сервер или что-то другое интересное.

Начнём с того, что сделаем контрольный замер, какие именно порты открыты:

sudo nmap 100.69.64.23

Эта команда покажет открытые порты на роутере:

Добавляем первое правило:

Второе:

Третье:

Получаем:

Заново сканируем порты:

sudo nmap 100.69.64.23

Констатируем — нас постигла неудача. 80-й порт — это порт самого роутера, а на устройстве с IP 192.168.1.2 просканированные порты закрыты.

Не отчаиваемся — переделываю все правила на переадресацию портов на IP 192.168.1.3:

И опять сканируем порты:

sudo nmap 100.69.64.23

Поясню, хотя команда Nmap одна и та же, но на самом деле в предыдущий раз мы сканировали порты устройства в локальной сети с IP 192.168.1.2. А последняя команда уже сканирует порты на 192.168.1.3.

А вот здесь нам повезло:

Starting Nmap 7.80 ( https://nmap.org ) at 2019-09-29 09:08 MSK
Nmap scan report for 100.69.64.23
Host is up (0.017s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
23/tcp   open  telnet
80/tcp   open  http
443/tcp  open  https
515/tcp  open  printer
631/tcp  open  ipp
9100/tcp open  jetdirect

Nmap done: 1 IP address (1 host up) scanned in 5.83 seconds

Напомню, что все эти порты, кроме 80, открыты на устройстве, у которого даже нет белого IP адреса, у него IP адрес 192.168.1.3.

А как проверить 80 порт на 192.168.1.3? Делаем это так:

sudo nmap -p 65535 100.69.64.23

Порт оказался закрыт.

Чтобы собрать информацию об отрытых портах, изучим их :

sudo nmap -sV --script=banner 100.69.64.23

Получаем:

PORT     STATE SERVICE    VERSION
21/tcp   open  ftp        Brother/HP printer ftpd 1.13
| banner: 220 FTP print service:V-1.13/Use the network password for the I
|_D if updating.
23/tcp   open  telnet     Brother/HP printer telnetd
|_banner: \x1B[2J\x1B[1;1f
80/tcp   open  http       GoAhead WebServer 2.5.0 (PeerSec MatrixSSL 3.4.2)
|_http-server-header: GoAhead-Webs/2.5.0 PeerSec-MatrixSSL/3.4.2-OPEN
443/tcp  open  ssl/http   Debut embedded httpd 1.20 (Brother/HP printer http admin)
515/tcp  open  printer
631/tcp  open  ipp?
9100/tcp open  jetdirect?
Service Info: Device: printer

Не очень интересно — видимо, это всё функции связанные с принтером.

Чтобы подключиться к HTTPS порту, достаточно открыть ссылку в веб-браузере: https://100.69.64.23:443

А там мы видим интерфейс многофункционального устройства (принтер-копер-сканер) MFC-J5910DW:

Ещё раз для тех, кто потерялся, это устройство с IP адресом 192.168.1.3!

Также я сумел подключиться к FTP:

как скрыть Wi-Fi сеть D-Link — SSID

Скрыть SSID (wi-fi сеть) на всех наиболее распространенных роутерах D-Link получится принципиально просто, если исключить некие дизайнерские отличия интерфейса настроек.

1 шаг: в настройках роутера откроем раздел Wi-Fi, далее переходим в «Основные настройки» (в ранних версиях переходим в «расширенные настройки», потом «Основные настройки» и уже затем в «Wi-Fi»; в более старых версиях роутеров (его прошивках) «Настроить вручную» и отыскиваем основные настройки беспроводной сети).

2 отмечаем пункт «Скрыть точку доступа».  (Обратите внимание на настройку «Вещать беспроводную сеть» — под галкой дан пояснительный текст, прочтите его у себя…)

Не забываем кликнуть «Изменить» и «Сохранить»…

Приступайте к тестированию… если не получилось сохранить настройки (так случается) повторите описанную операцию вновь…

Таким образом вы скроете свою wi-fi сеть D-Link.

Перехват со своего роутера

Для того, чтобы перехватывать трафик в сети интернет, существует специальная техника, называемая, ARP-spoofing, основанная на применении ARP-протокола.

В случае использования последовательности удаленного поиска в интернет-пространстве возможно осуществить типовую удаленную атаку под названием «ложный объект РВС».

На основании анализа безопасности АRP был сделан вывод о том, что посредством перехвата трафика WiFi широковещательного ARP-запроса на производящем атаку хосте внутри данной области можно организовать отправку ложного ARP-ответа с объявлением себя требуемым хостом (роутером). Это позволяет злоумышленникам брать под контроль трафик того хоста, который дезинформировали, и воздействовать по на него по ранее обговариваемой схеме.

Существует некий алгоритм, приводящий к перехвату трафика, состоящий из следующих этапов:

1. Запуск сниффера;
2. Переход во вкладку «Сниффер»;
3. Акцентирование внимания на подключенных устройствах;
4. Переход по ссылке в ARP;
5. Нажатие на плюс;
6. Выбор атакуемого хоста в левой части выплывшего окна;
7. Выбор другого компьютера в правой части выплывшего окна;
8. Ожидание появления статуса «Poisoning» у атакуемого хоста;
9. Переход в «Passwords»;
10. Копирование требуемых данных.

Заключение

Это самый универсальный способ атаки на локальную сеть с уязвимым роутером, поскольку практически все роутеры поддерживают переадресацию портов.

Другие варианты атак:

• подмена DNS на сервера злоумышленника и манипуляция трафиком на основе поддельных DNS ответов (подвержены все роутеры) (см. Применение фальшивого DNS)
• перенаправление трафика с помощью VPN канала на оборудование злоумышленника (подвержены только более продвинутые модели с поддержкой VPN) (см. Применение фальшивого VPN (атака человек-посередине+обход HSTS))
• доступ к медиа носителям, подключённым к роутеру (подвержены только модели с такой функциональностью)