Департамент кіберполіції України радить, як уберегти Wi-Fi-роутери та домашню мережу від зловмисників і хакерських атак.
Більшість користувачів домашньої мережі використовує Wi-Fi роутери для доступу для глобальної мережі Інтернет, однак Wi-Fi роутери часто використовуються зловмисниками для скоєння шахрайських дій
Що зловмисник може здійснити знаходячись в вашій Wi-Fi мережі?
1) Зміна налаштувань DNS серверу. Будь-яке доменне ім’я, наприклад, google.com.ua відповідає індивідуальній IP-адресі. Тобто сайт google.com.ua відповідає IP-адресі 74.125.232.255, якщо ввести у браузері замість сайту google.com.ua IP-адресу 74.125.232.255 завдяки DNS-серверу буде здійснено перехід на веб-сайт google.com.ua. Так, зловмисник може змінити DNS-сервер на свій власний і налаштувати, наприклад, щоб браузер при введенні сайту google.com.ua переходив на його особисту IP-адресу, внаслідок чого буде здійснено перехоплення веб-трафіку або зараження вашого особистого ПК чи будь-якого пристрою, який отримує доступ до глобальної мережі Інтернет з вашого роутера або точки доступу.
2) Наступне, що може здійснити зловмисник – це перехоплення вашої особистої інформації шляхом атаки «людина посередині» (men-in-the-middle). За допомогою такої атаки ваш веб-трафік, яким за замовчуванням відправляється до Wi-Fi роутеру буде відправлено спочатку хакеру, а потім від хакера до роутера, таким чином, що Wi-Fi роутер не помітить змін. Така атака дозволяє хакеру викрасти ваші особисті дані (логіни, паролі), продивитись ваш веб-трафік (сайти, на які ви заходили).
3) Слід зазначити, що хакер також, перебуваючи у вашій особистій Wi-Fi мережі може здійснювати хакерські атаки (взломи сайтів, DDOS-атаки, додати ваші пристрої до бот-мережі, скачувати дитячу порнографію) тобто будь-які незаконні дії від вашого імені, оскільки Wi-Fi роутер має IP-адресу, яку вам надає ваш провайдер при сплаті Інтернет-послуг. Тобто всі пристрої, підключені до вашого роутера або точки доступу в мережі Інтернет будуть ідентифікуватись за вашою IP-адресою.
Департамент кіберполіції радить
Приховувана назва Wi-Fi мережі.
Назва мережі або SSID (Service Set Identifier), яку ми бачимо при пошуку мережі. Знаючи цю назву, можна підключитися до тієї чи іншої Wi-Fi мережі. За «дефолтом» роутери і точки доступу показують назву вашої мережі всім охочим. Назву можна відключити в розділі «налаштування бездротових мереж» (Wireless Settings) вашого роутера або точки доступу. У цьому розділі є опція «включити SSID» (Enable SSID) або «відключити SSID» (Disable SSID).
Включаємо шифрування.
Налаштування також знаходиться в розділі «налаштування бездротових мереж» (Wireless Settings) і називається «тип шифрування» (Encryption settings). Залежно від типу роутера або точки доступу наявно приблизно 5 варіантів на вибір.
Чим відрізняються типи шифрування?
WEP (WIRED EQUIVALENT PRIVACY). Найслабший тип шифрування. До роутера або точки доступу з таким типом шифрування зловмисник може отримати доступ за 15 хвилин – 24 години, в залежності від активності мережі. Не рекомендується до використання взагалі.
WPS / QSS WPS, він же QSS – дозволяє клієнту підключитися до точки доступу за допомогою 8-символьного коду, що складається з цифр. У грудні 2011 Стефан Фібёк (англ. Stefan Viehböck) і Крейг Хеффнер (англ. Craig Heffner) розповіли про серйозні діри в протоколі WPS. Виявилося, що якщо в точці доступу активований WPS c PIN (який за замовчуванням включений в більшості роутерів), то підібрати PIN-код для підключення можна за лічені години. Департамент кіберполіції рекомендує відключити дану опцію.
WPA і WPA2 (WI-FI PROTECTED ACCESS). WPA / WPA2 підтримують два різних режиму початкової аутентифікації (перевірка пароля доступу клієнта до мережі) – PSK і Enterprise. WPA-PSK та WPA2-PSK – це найпоширеніші варіант шифрування для домашніх Wi-Fi мереж. Підключення до мережі здійснюється за єдиним паролем, який вводиться на пристрої при підключенні, різниця в типі шифрування, WPA-PSK – тип шифрування TKIP, WPA2-PSK – AES (посилений тип шифрування). WPA Enterprise відрізняється від WPA-PSK тим, що для використання необхідно налаштувати сервер – RADIUS (Remote Authentication Dial In User Service). По суті сервер RADIUS – це служба віддаленої аутентифікації користувачів, яка перевіряє облікові дані користувача для доступу до мережі.
Фільтр MAC адрес.
Ще один спосіб захистити вашу домашню Wi-Fi мережу. Це фільтрація пристроїв за MAC-адресою. MAC-адреса – унікальний номер (типу серійного номера) мережевої Ethernet або Wi-Fi карти. У налаштування роутера або точки доступу необхідно додати MAC-адреси тих пристроїв, які будуть підключатись до вашого роутера або точки доступу. Користувачі із відмінними MAC-адресами від тих, що зазначені у налаштуваннях, не будуть з’єднані з роутером або точкою доступу, навіть при правильному введенні паролю доступу.
У найпоширеніших роутерах ця функція називається «фільтрація MAC-адрес» (MAC Filtering). У операційних системах MS-Windows MAC адресу можна подивитись за допомогою комбінації клавіш Windows+r та введені команди cmd, внаслідок чого відкриється командний рядок Windows, в подальшому необхідно ввести ipconfig /all, далі шукаємо рядок бездротівкове мережеве з’єднання (wireless network connection) та копіюємо значення фізична адреса (physical address) – це і є MAC-адреса. У системах типу Unix необхідні ввести команду ifconfig.
Відключаємо доступ до адміністрування роутера або точки доступу з глобальної мережі Інтернет.
Найчастіше Wi-Fi роутери підтримують функцію віддаленого адміністрування, через інтернет. Однак для більшості користувачів немає необхідності у віддаленому налаштуванні Wi-Fi. Однак залишивши цю функцію, ви створюєте додаткову точку входу, якою може скористатися зловмисник, щоб отримати доступ до вашої Wi-Fi мережі. Департамент кіберполіції радить під час налаштування вашої особистої Wi-Fi мережі не використовувати налаштування за замовчуванням та користуватись цією інструкцією.
Джерело: Сайт Департаменту Кіберполіції України
