Полное руководство по повышению безопасности домашней сети Wi-Fi

Безопасность Wi-Fi

Все пользуются Wi-Fi. Это факт современной жизни, но он сопряжен с серьезными рисками и проблемами для безопасности. Домашний Wi-Fi может быть самым небезопасным участком вашего подключения к Интернету. Это потенциально открывает вас для атак из Интернета, а также для ближайших соседей.

Хотя идеальных мер безопасности нет, есть несколько простых шагов, которые вы можете предпринять, чтобы повысить безопасность вашего домашнего Wi-Fi и затруднить доступ злоумышленникам.

Изменить имя (SSID)

Изменить WiFi SSID

Это очень просто. Измените название вашей сети. Злоумышленники знают имена по умолчанию, которые используют производители маршрутизаторов и интернет-провайдеры. Если они смогут определить, какой тип маршрутизатора вы используете, просто посмотрев на название вашей сети, им будет намного проще адаптировать свою атаку к вашему конкретному маршрутизатору. Это экономит им время и силы.

Кроме того, такая информация открывает двери для более сложных эксплойтов, которые атакуют конкретную прошивку вашего маршрутизатора. Злоумышленник может использовать эту прошивку напрямую и потенциально получить еще больший доступ более незаметно, чем если бы он просто узнал ваш пароль.

Измените имя пользователя и парольную фразу администратора

Выберите надежный пароль администратора сети

Логика здесь соответствует той же логике, что и в предыдущем разделе. Вам необходимо изменить имя пользователя и пароль администратора сети.

Злоумышленникам известны значения по умолчанию, и они сначала попробуют их. Не думайте, что вы умны, просто изменив пароль или изменив его на один символ. У злоумышленников есть инструмент, который может очень быстро проверить тысячи возможных комбинаций пароля и имени пользователя.

Измените имя пользователя admin на что-нибудь, о чем трудно догадаться. Пароль должен быть парольной фразой. Это означает, что это должна быть короткая фраза, содержащая еще хотя бы одно непонятное слово. Также следует использовать заглавные буквы, числа и пару специальных символов.

Используйте надежное шифрование

Если вы не используете шифрование в беспроводной сети, значит, вы делаете это неправильно. На самом деле, если вы используете шифрование, вы все равно можете делать это неправильно. Не все шифрование одинаково. Убедитесь, что вы выбрали правильные настройки.

Выберите WPA2 с шифрованием AES

Выберите для своей сети "WPA2 Personal". Если вы можете настроить корпоративную версию и знаете, как это сделать, это немного лучше, но это действительно непросто, если у вас еще нет опыта работы с ней.

Для самого алгоритма шифрования выберите AES. Не включать TKIP. AES обеспечивает гораздо более надежное шифрование, и его гораздо сложнее использовать. TKIP включен только в качестве опции для обратной совместимости, и теперь, если вам действительно нужен TKIP, обновите свои устройства.

Выберите лучшую парольную фразу

Выберите надежную парольную фразу WiFi

Кодовая фраза, которую вы используете для входа в свою сеть, также должна быть надежной, и она должна отличаться от той, что используется в вашей учетной записи администратора. Выберите что-нибудь длиной в несколько слов. Включите хотя бы одно редко используемое слово и несколько цифр и специальных символов. Ваша кодовая фраза должна состоять не менее чем из пятнадцати символов.

Поверните парольную фразу WiFi

Даже если ваша кодовая фраза WiFi невероятно надежна, вам необходимо ее изменить. Как и в случае с любой другой кодовой фразой, рекомендуется время от времени заменять новые. Это не значит, что вам нужно менять кодовую фразу через день, но каждые пару месяцев - хорошая идея.

Отключите гостевую сеть

Гостевые сети могут быть палкой о двух концах. Конечно, ваши гости не регистрируются и не получают доступ ко всей вашей сети, и они не используют вашу кодовую фразу. Если в вашей гостевой сети нет пароля, вы все равно открываете себя для всех, кто хочет подключиться. По сути, вы подставляете злоумышленнику ногу в дверь.

Единственное исключение здесь - если вы можете создать отдельную гостевую фразу-пароль для своей гостевой сети. Если ваша гостевая сеть имеет такой же уровень безопасности, как и ваша основная сеть, ничего страшного. В противном случае отключите его, а если вы не доверяете своим друзьям, измените кодовую фразу, когда они уйдут.

Включить брандмауэр

Включить брандмауэр

Не каждый маршрутизатор имеет встроенный брандмауэр, но если он есть у вас, включите его. Брандмауэр может служить вашей первой линией защиты. Они специально разработаны для управления и фильтрации трафика, входящего и исходящего из вашей сети, и могут блокировать попытки получить доступ через неиспользуемые порты.

Даже если на ваших устройствах включены брандмауэры, рекомендуется добавить второй уровень безопасности. Вы действительно хотите рискнуть проникнуть в вашу сеть злоумышленником, чтобы потом попытаться его остановить? Злоумышленнику гораздо проще начать атаку изнутри вашей сети, чем снаружи. Кроме того, они могут отслеживать ваш трафик.

Используйте VPN

Используйте VPN

Вы не собираетесь останавливать своих соседей от проникновения в вашу сеть с помощью VPN, но таким образом вы можете помочь остановить атаки извне.

При использовании VPN сначала подключайтесь к VPN-серверу, а затем к внешнему Интернету. Похоже, что весь ваш трафик идет из VPN. Это включает в себя любую информацию о вашей локальной сети, потому что VPN создают виртуальные локальные сети. Пока вы подключены к ним, ваш компьютер находится как в вашей физической локальной сети, так и в виртуальной. В Интернете можно увидеть только виртуальный.

У VPN есть дополнительное преимущество в виде частичной анонимности вашего трафика. Нет, одна только VPN не сделает вас полностью анонимным в сети, но она определенно поможет.

Отключить WPS

Отключить WPS

WPS расшифровывается как Wifi Protected Setup. Это система для подключения к зашифрованной сети Wi-Fi без ввода ключевой фразы. Есть несколько разных его реализаций, но все они делают примерно одно и то же.

Хотя на бумаге WPS может звучать хорошо, на практике это далеко не так. WPS имеет известные уязвимости и дыры в безопасности. Что еще хуже, он включен по умолчанию на большинстве маршрутизаторов. Если вы можете отслеживать нашу кодовую фразу, в WPS нет необходимости. Отключите его и закройте эти дыры в безопасности.

Управление прошивкой маршрутизатора

Обновите прошивку вашего роутера

Как и ваш компьютер, ваш маршрутизатор имеет операционную систему. В отличие от вашего компьютера, обновления безопасности не загружаются на него автоматически. Вам нужно обновить его вручную.

Некоторые маршрутизаторы могут загружать обновления прошивки из Интернета. Для других вы должны загрузить их и загрузить в маршрутизатор вручную с вашего компьютера. В любом случае, вам нужно оставаться на вершине.

Как и в случае с компьютерами, обновления часто включают важные исправления безопасности. Если вы оставите свой маршрутизатор без этих исправлений, вы можете позволить своему маршрутизатору и сети оставаться открытыми для проверенных эксплойтов.

Не нужно делать это очень часто. Просто проверяйте обновления примерно раз в месяц, и вы всегда будете впереди.

Если у вас больше технических навыков, возможно, вы захотите использовать специальную прошивку маршрутизатора с открытым исходным кодом. Есть несколько действительно отличных прошивок послепродажного обслуживания, которые вы можете загрузить на свой маршрутизатор, и они, как правило, имеют более быстрые обновления и гораздо больше функций. Если вы никогда раньше не делали этого, будьте осторожны. Вы можете уничтожить свой роутер.

Отключить удаленное управление / ненужные службы

Отключить ненужные службы

Многие маршрутизаторы имеют службы удаленного управления. В некоторых маршрутизаторах эти службы включены по умолчанию. Не ошибитесь здесь. Это не тот веб-интерфейс, который вы используете для управления маршрутизатором из внутри сети. Удаленные службы позволяют управлять им извне. Это означает, что злоумышленник из открытого Интернета может получить доступ к интерфейсу управления вашего маршрутизатора.

Существует не так много практических причин, по которым вы хотели бы иметь возможность управлять своим маршрутизатором из-за пределов своей сети, поэтому вы не многое потеряете, отключив эту потенциально опасную службу.

Есть и другие услуги, которые не являются обязательными в маршрутизаторах. Например, некоторые маршрутизаторы поставляются с включенным по умолчанию SSH или менее защищенным Telnet. Для того или другого нет причин, особенно потому, что вы можете использовать веб-интерфейс вашего роутера.

На некоторых маршрутизаторах по умолчанию даже включены FTP и Samba для обмена файлами. Оба они более чем заслужили свою известность благодаря тому, что их легко использовать. Если они у вас есть, выключите их.

Заключительные мысли

Если вы уделяете внимание темам безопасности или читали подобные статьи в прошлом, вам может быть интересно, почему некоторые вещи не освещаются. На это есть очень веская причина.

Статические IP-адреса, фильтрация MAC-адресов и скрытие вашего SSID были опущены, потому что было доказано, что они не работают. Конечно, вы могли бы предотвратить небольшое вмешательство, но против правильных инструментов ни одна из этих тактик не эффективна. Вам лучше вкладывать свое время и усилия туда, где это важно, например на шифрование и надежные парольные фразы.

Ваша домашняя сеть - это барьер между содержимым ваших компьютеров и остальным миром. Будьте умны и сделайте все возможное, чтобы убедиться, что ваш маршрутизатор защищает вас.

7 комментариев

  1. Еще одним шагом к повышению безопасности вашей домашней сети Wi-Fi является замена программного обеспечения маршрутизатора по умолчанию на стороннее программное обеспечение, такое как DD-WRT, OpenWRT или Tomato. В то время как программное обеспечение OEM-маршрутизатора довольно хорошее, программное обеспечение послепродажного обслуживания предлагает больше контроля, предлагая больше возможностей.


    Я заинтригован вашим предложением, но поставляется ли DD-WRT и т. Д. С предустановленными параметрами для подключения к интернет-провайдерам, таким как AT&T?
    AT&T предоставила мне модем / шлюз DSL, в котором есть порты Ethernet. сзади, а также есть Wi-Fi, поэтому я не использую роутер. Но я боюсь, что если я установлю DD-WRT и т. Д. На этот модем / маршрутизатор, я останусь один в том, какие параметры вводить для подключения к линии DSL AT&T ...

    1. Не все маршрутизаторы поддерживаются упомянутым программным обеспечением. Если вас интересует какое-либо программное обеспечение, я предлагаю вам зайти на их сайт и прочитать о нем. Там вы найдете список маршрутизаторов, которые поддерживаются, а какие нет. Вы также найдете ответы на другие свои вопросы.

      Честно говоря, я не практикую то, что проповедую. Я все еще использую программное обеспечение по умолчанию, установленное на моем маршрутизаторе. Однако это не меняет того факта, что стороннее программное обеспечение маршрутизатора, особенно программы, о которых я упоминал, обеспечивает больший и лучший контроль для маршрутизаторов. Если вы выполните поиск в Интернете по DD-WRT, OpenWRT или Tomato, вы обнаружите, что у них обычно есть хорошие отзывы.

      Если вы боитесь сломать маршрутизатор, установив DD-WRT, первое, что вам следует сделать, это сделать резервную копию имеющегося у вас программного обеспечения. В худшем случае вы можете восстановить это программное обеспечение на своем маршрутизаторе. В любом случае, как и в случае с любым другим программным обеспечением, вам следует регулярно выполнять резервное копирование, особенно после внесения изменений.

  2. Отличные советы, Ник! Я поделился информацией в наших социальных сетях и надеюсь, что наши читатели внесут эти простые изменения как можно скорее.


    Большое спасибо, Лиз!

  3. Потрясающая информация. Я никогда не знал, что вы можете заменить операционную систему своего роутера!… (Всегда казалось, что она припаяна к материнской плате в какой-то микросхеме или что-то в этом роде!) Но теперь, когда я это знаю? Я найду правильное решение, которое подойдет мне для обеспечения конфиденциальности и безопасности моей сети!

  4. Ник, спасибо за статью. Два вопроса к моему собственному образованию:
    1) Почему необходимо часто менять пароль Wi-Fi? Если он длинный и случайный, то grc.com сообщает мне, что на его взлом потребуются триллионы столетий.
    2) Разве злоумышленнику не нужно сначала взломать пароль Wi-Fi, чтобы получить доступ к моей сети, чтобы получить доступ к логину администратора?

Комментарии закрыты.