До­маш­няя сеть в без­опас­но­сти Как устра­нить уяз­ви­мо­сти и воз­ве­сти за­щит­ный ба­рьер в ва­шем ро­у­те­ре

Поль­зу­ясь непра­виль­ной кон­фи­гу­ра­ци­ей ро­у­те­ра и устрой­ства­ми ум­но­го до­ма, ха­ке­ры про­ни­ка­ют в бес­про­вод­ную сеть и рас­про­стра­ня­ют «за­ра­зу». Воз­ве­сти за­щит­ный ба­рьер по­мо­гут со­ве­ты про­фес­си­о­на­лов и сег­мен­ти­ро­ва­ние се­ти.

Chip (Russia) - - Содержание -

Все раз­ра­бот­чи­ки ан­ти­ви­ру­сов схо­дят­ся в од­ном: Iot-устрой­ства, та­кие как Ip-ка­ме­ры и Smart-си­сте­мы отоп­ле­ния, пред­став­ля­ют собой се­рьез­ную угро­зу без­опас­но­сти, по­сколь­ку большинство из них по­став­ля­ет­ся без ка­кой-ли­бо за­щи­ты от ха­кер­ских атак. Да­же та­кая круп­ная ком­па­ния, как Philips, по­сто­ян­но об­на­ру­жи­ва­ет уяз­ви­мо­сти в сво­ей ум­ной си­сте­ме осве­ще­ния Hue. При­чи­на это­го об­ще­го недо­стат­ка за­клю­ча­ет­ся в том, что по­ка не су­ще­ству­ет кон­сен­су­са по во­про­су, как обез­опа­сить та­кие устрой­ства, по­сколь­ку ни на од­ном из Iot-ком­по­нен­тов не ра­бо­та­ет ни один ан­ти­ви­рус. Од­ним из ва­ри­ан­тов за­щи­ты обо­ру­до­ва­ния могло бы стать по­стро­е­ние до­ро­го­сто­я­щей про­фес­си­о­наль­ной се­ти, как это про­ис­хо­дит в бизнес-сре­де. Для обыч­но­го поль­зо­ва­те­ля это ре­ше­ние не под­хо­дит, од­на­ко CHIP вам по­мо­жет: в дан­ной ста­тье мы рас­ска­жем, как с по­мо­щью стан­дарт­ных ро­у­те­ров на­стро­ить вир­ту­аль­ные бес­про­вод­ные се­ти с уси­лен­ной за­щи­той, ко­то­рые не про­пу­стят ни еди­но­го ха­ке­ра. Да­же поль­зо­ва­те­ли мо­де­лей от Keenetic с по­мо­щью пра­виль­ной кон­фи­гу­ра­ции сде­ла­ют свои ум­ные устрой­ства неуяз­ви­мы­ми. Кро­ме то­го, мы про­де­мон­стри­ру­ем, как ис­поль­зо­вать про­фес­си­о­наль­ные сер­ви­сы, что­бы про­ве­сти проб­ную ха­кер­скую ата­ку на свой марш­ру­ти­за­тор.

На­деж­ная за­щи­та до­маш­не­го ро­у­те­ра

Успеш­ные ата­ки на ин­тер­фей­сы меж­ду до­маш­ней се­тью и Ин­тер­не­том все­гда оправ­ды­ва­ют вло­жен­ные уси­лия: зло­умыш­лен­ни­ки по­лу­ча­ют воз­мож­ность пе­ре­на­прав­лять веб-тра­фик це­ли­ком. Укреп­ле­ние за­щи­ты сле­ду­ет на­чи­нать с ро­у­те­ра.

Ак­ти­ва­ция на­стро­ек без­опас­но­сти устрой­ства

Бы­ту­ет мнение, что зло­умыш­лен­ник мо­жет ис­поль­зо­вать на­строй­ки ро­у­те­ра по умол­ча­нию и, вве­дя за­вод­ской па­роль, смо­жет пе­ре­на­стро­ить устрой­ство. Од­на­ко это воз­мож­но лишь

в том слу­чае, ес­ли пре­ступ­ник на­хо­дит­ся внут­ри ва­шей до­маш­ней Wi-fi-се­ти — что ма­ло­ве­ро­ят­но, ес­ли толь­ко вы са­ми не да­ли ему па­роль от нее. Да­же ес­ли для взло­ма в ход бу­дут пу­ще­ны ха­кер­ские ин­стру­мен­ты, на­при­мер Hydra, на­деж­ной за­щи­той от про­ник­но­ве­ния в на­строй­ки марш­ру­ти­за­то­ра ста­нет уста­нов­ка для него лич­но­го па­ро­ля.

Обыч­но при пер­вом за­пус­ке про­грам­мы на­строй­ки ро­у­те­ра поль­зо­ва­те­лю пред­ла­га­ет­ся за­дать свой па­роль к устрой­ству (за­вод­ской ука­зан на ниж­ней ча­сти кор­пу­са). Но ес­ли его необ­хо­ди­мо сме­нить, в бра­у­зе­ре от­крой­те стра­ни­цу на­стро­ек ро­у­те­ра (у Keenetic это my.keenetic.net). Кро­ме то­го, вы мо­же­те зай­ти в на­строй­ки, ука­зав Ip-ад­рес сво­е­го марш­ру­ти­за­то­ра. Что­бы его узнать, в Windows на­жа­ти­ем на клавиши «Win+r» от­крой­те ко­манд­ную стро­ку и вве­ди­те в ней ко­ман­ду «cmd». За­тем вы­пол­ни­те «ipconfig/all». В раз­де­ле «Ос­нов­ной шлюз» вы най­де­те ис­ко­мый Ip-ад­рес. Те­перь от­крой­те свой бра­у­зер и в ад­рес­ной стро­ке вве­ди­те этот IP. По­сле то­го как вы вой­де­те в веб-ин­тер­фейс ро­у­те­ра, пе­рей­ди­те к его си­стем­ным на­строй­кам. Для Keenetic вы най­де­те их раз­де­ле «До­пол­ни­тель­ные па­ра­мет­ры | Поль­зо­ва­те­ли». Здесь на­жми­те на учет­ную за­пись «Admin» и за­дай­те но­вый па­роль в двух ячей­ках. В на­сто­я­щее вре­мя большинство устройств осна­ще­ны за­щи­той от атак ме­то­дом пе­ре­бо­ра, но мы все рав­но ре­ко­мен­ду­ем ука­зать сло­во ми­ни­мум из 15 сим­во­лов.

Мас­ки­ров­ки имен Wi-fi и шиф­ро­ва­ние се­ти

На сле­ду­ю­щем эта­пе зай­мем­ся па­ро­лем к бес­про­вод­ной се­ти. Су­ще­ству­ют про­грам­мы для пе­ре­бо­ра, поз­во­ля­ю­щие взло­мать и этот код — ес­ли, ко­неч­но, он слиш­ком ко­рот­кий. Этот код в Keenetic ме­ня­ет­ся че­рез «Сеть Wi-fi | Точ­ка до­сту­па 2,4 ГГЦ» в по­ле «Ключ се­ти». Убе­ди­тесь, что в ка­че­стве ме­то­да шиф­ро­ва­ния ис­поль­зу­ет­ся WPA2-AES или WPA2 (CCMP). Это мож­но уви­деть непо­сред­ствен­но под по­лем па­ро­ля.

Среди ти­по­вых со­ве­тов за­щи­ты до­маш­ней Wi-fi-се­ти мож­но най­ти ре­ко­мен­да­цию скрыть ее имя в на­строй­ках ро­у­те­ра. Од­на­ко, как утвер­жда­ют спе­ци­а­ли­сты, вы­пол­не­ние это­го со­ве­та не толь­ко не оста­но­вит взлом­щи­ков, ко­то­рые с по­мо­щью спе­ци­аль­ных про­грамм ви­дят все ак­тив­ные бес­про­вод­ные се­ти, но и за­труд­нит вам под­клю­че­ние к сво­ей се­ти но­вых устройств. Впро­чем, ес­ли вас эти фак­то­ры не сму­ща­ют, мо­же­те на вся­кий слу­чай все же за­мас­ки­ро­вать свое имя бес­про­вод­ной се­ти (SSID) и отключить его пе­ре­да­чу в на­строй­ках ро­у­те­ра. В на­строй­ках Keenetic пе­рей­ди­те в раз­дел «Сеть Wi-fi | Точ­ка до­сту­па 2,4 ГГЦ» и в по­ле «Скрыть SSID» по­ставь­те га­лоч­ку. Так­же обя­за­тель­но за­дай­те дру­гое имя се­ти, что­бы зло­умыш­лен­ни­ки по стан­дарт­но­му име­ни не мог­ли рас­по­знать, о ка­ком устрой­стве идет речь, и не ис­поль­зо­ва­ли стан­дарт­ные бре­ши в без­опас­но­сти (см. гла­ву «Ими­та­ция ха­кер­ской ата­ки»). Од­на­ко от­ме­тим, что спе­ци­аль­ные про­грам­мы мгно­вен­но рас­по­зна­ют обо­ру­до­ва­ние, и это пре­ступ­ни­ков вряд ли оста­но­вит.

От­клю­че­ние функ­ций ро­у­те­ра

При же­ла­нии со­вре­мен­ные марш­ру­ти­за­то­ры мож­но скон­фи­гу­ри­ро­вать под до­ступ из лю­бой точ­ки зем­но­го ша­ра. Недо­ста­ток: на­ли­чие воз­мож­ных ба­гов в про­шив­ках устройств поз­во­ля­ет про­ник­нуть в ва­шу до­маш­нюю сеть и ха­ке­рам. Мы ре­ко­мен­ду­ем отключить ди­стан­ци­он­ный до­ступ, ес­ли он ва­ми не ис­поль­зу­ет­ся. В устрой­ствах Keenetic для это­го нуж­но зай­ти в меню «Си­сте­ма | Ре­жим». Здесь ука­жи­те, в ка­ком ре­жи­ме бу­дет ра­бо­тать ваш ро­у­тер. Со­хра­ни­те из­ме­не­ния на­жа­ти­ем на «При­ме­нить».

Имей­те в ви­ду, что да­же не­ко­то­рые устрой­ства ум­но­го до­ма мо­гут кон­тро­ли­ро­вать­ся ди­стан­ци­он­но. К при­ме­ру, вла­дель­цам Philips Hue необ­хо­ди­мо отключить уда­лен­ный до­ступ к Се­ти. Для это­го нуж­но зай­ти на сайт my.meethue.com. По­сле то­го как вы обез­опа­си­ли все под­сту­пы к устрой­ствам из Се­ти, сле­ду­ет за­нять­ся за­щи­той от атак из бли­жай­ше­го окру­же­ния.

За­кры­ва­ем до­ступ в Wi-fi по­сто­рон­ним устрой­ствам

На слу­чай, ес­ли ха­ке­ры все-та­ки по­лу­чат до­ступ к ва­ше­му па­ро­лю к бес­про­вод­ной се­ти че­рез уяз­ви­мо­сти (вряд ли им это удаст­ся сде­лать пу­тем пе­ре­бо­ра), сто­ит за­щи­тить се­бя с по­мо­щью функ­ции раз­ре­ше­ния до­сту­па толь­ко за­ре­ги­стри­ро­ван­ных устройств. Вла­дель­цы Keenetic мо­гут ак­ти­ви­ро­вать эту воз­мож­ность в меню «До­маш­няя сеть | Устрой­ства», вы­брав оп­цию «За­пре­тить до­ступ к Ин­тер­не­ту всем неза­ре­ги­стри­ро­ван­ным устрой­ствам». По­сле на­жа­тия на кноп­ку «При­ме­нить» до­ступ к ро­у­те­ру бу­дет толь­ко у под­клю­чен­ных на те­ку­щий мо­мент устройств. Вни­ма­ние: ес­ли вы не мо­же­те од­но­знач­но оха­рак­те­ри­зо­вать ка­кое-ли­бо устрой­ство из спис­ка над дан­ной оп­ци­ей как ле­ги­тим­ное, уда­ли­те его из спис­ка. Для до­бав­ле­ния но­во­го устрой­ства необ­хо­ди­мо на­жать на «До­ба­вить устрой­ство».

Сег­мен­ти­ро­ва­ние се­тей

Лучшей за­щи­той от атак и ма­ни­пу­ля­ций с ум­ны­ми устрой­ства­ми ста­нет «рас­щеп­ле­ние» Wi-fi на раз­лич­ные, пол­но­стью независимые друг от дру­га бес­про­вод­ные се­ти.

Ис­поль­зо­ва­ние соб­ствен­ных средств Keenetic

С по­мо­щью Keenetic вы смо­же­те ор­га­ни­зо­вать толь­ко го­сте­вую и глав­ную сеть, од­на­ко ис­поль­зо­ва­ние от­дель­ных про­фи­лей поз­во­лит со­здать боль­ше сег­мен­тов. Для это­го сна­ча­ла со­здай­те но­вый сег­мент, к ко­то­ро­му бу­дет под­клю­чать­ся Iot-устрой­ство и где не бу­дет до­сту­па к Ин­тер­не­ту, а бу­дет лишь во внут­рен­нюю сеть (к при­ме­ру, для ум­ных ро­зе­ток). Еще од­ной оп­ци­ей мо­жет стать сег­мент для обо­ру­до­ва­ния, ко­то­ро­му доз­во­ля­ет­ся за­хо­дить толь­ко в Ин­тер­нет, но не в ло­каль­ную сеть (в том чис­ле для се­те­вой ку­хон­ной тех­ни­ки Thermomix от Vorwerk).

Для со­зда­ния но­во­го сег­мен­та необ­хо­ди­мо в ин­тер­фей­се ро­у­те­ра зай­ти в меню «До­маш­няя сеть» на вклад­ке «Сег­мен­ты» на­жми­те «До­ба­вить сег­мент». Да­лее мож­но уста­но­вить для него на­строй­ки — на­при­мер, раз­ре­шить или за­пре­тить устрой­ству вы­ход в Сеть. За­тем нуж­но бу­дет про­пи­сать в этом сег­мен­те кли­ен­тов, ко­то­рым вы пла­ни­ру­е­те вы­дать лишь до­ступ в Ин­тер­нет, ли­бо со­зда­ет­ся от­дель­ный про­филь, ли­бо на­стра­и­ва­ет­ся го­сте­вой Wi-fi. Кро­ме то­го, на вклад­ке «Устрой­ства» мож­но раз­ре­шить или за­пре­тить кон­крет­но­му де­вай­су до­ступ в Ин­тер­нет.

По­стро­е­ние вир­ту­аль­ной се­ти

На при­ме­ре ро­у­те­ра Tp-link TL WR940N мы по­ка­жем, как управ­лять под­клю­чен­ны­ми устрой­ства­ми че­рез про­фи­ли. Че­рез меню «Wireless | Virtual Interfaces» на­жа­ти­ем на кноп­ку «Add» до­бавь­те но­вую вир­ту­аль­ную сеть (VLAN). Ес­ли вы хо­ти­те, что­бы устрой­ства за­хо­ди­ли в Ин­тер­нет, но не вза­и­мо­дей­ство­ва­ли друг с дру­гом че­рез ло­каль­ную сеть, за­дей­ствуй­те оп­цию «AP Isolation» для со­от­вет­ству­ю­щей VLAN. Веб-до­ступ для от­дель­ных кли­ен­тов на­стра­и­ва­ет­ся че­рез меню «Access Restrictions | Access Policy». Не за­бы­вай­те каж­дый раз сохранять из­ме­не­ния на­жа­ти­ем на кла­ви­шу «Save», а для ак­ти­ва­ции

кон­фи­гу­ра­ции щелк­ни­те по «Apply Setting» — необ­хо­ди­мая пе­ре­за­груз­ка ком­пью­те­ра по­сле­ду­ет ав­то­ма­ти­че­ски.

Ими­та­ция ха­кер­ских атак

Пре­жде чем ха­ке­ры пред­при­мут ата­ку на ваш ком­пью­тер, попробуйте сна­ча­ла са­ми выяснить, где на­хо­дит­ся уяз­ви­мое ме­сто ва­шей се­ти, что­бы им не смог­ли вос­поль­зо­вать­ся для про­ник­но­ве­ния. Та­ким об­ра­зом, для за­щи­ты сна­ча­ла при­дет­ся об­ма­нуть си­сте­му. В Ин­тер­не­те мож­но най­ти за­слу­жи­ва­ю­щие доверия сер­ви­сы, бес­плат­но про­во­дя­щие те­сти­ро­ва­ние на про­ник­но­ве­ние. В до­пол­не­ние к это­му необ­хо­ди­мо за­ра­нее изу­чить сай­ты CERT (Computer Emergency Response Team, cert.org) Фе­де­раль­но­го управ­ле­ния по ин­фор­ма­ци­он­ной без­опас­но­сти на пред­мет из­вест­ных уяз­ви­мо­стей в ва­ших устрой­ствах.

Об­на­ру­же­ние от­кры­тых пор­тов с по­мо­щью спе­ци­аль­ных он­лайн-сер­ви­сов

Один из сер­ви­сов те­сти­ро­ва­ния на про­ник­но­ве­ние пред­ла­га­ет аме­ри­кан­ский по­став­щик It-услуг Gibson Research Corporation. Для за­пус­ка про­вер­ки зай­ди­те на сайт www.grc.com, из меню «Services» вы­бе­ри­те пункт «Shieldsup», а за­тем на­жми­те на «Proceed». По за­вер­ше­нию тек­ста вы уви­ди­те в окне все от­кры­тые пор­ты ва­шей се­ти. Что­бы выяснить, ка­кие имен­но устрой­ства за ни­ми скры­ва­ют­ся, за­бей­те в Google но­мер пор­та. Как пра­ви­ло, эти ре­зуль­та­ты уже мо­гут ука­зать на ви­нов­ни­ка. Для огра­ни­че­ния зо­ны по­ис­ка до­бавь­те к но­ме­ру пор­та на­зва­ние ва­ше­го ум­но­го обо­ру­до­ва­ния. По­сле вы­чис­ле­ния со­от­вет­ству­ю­ще­го устрой­ства вы мо­же­те огра­ни­чить ему вы­ход в Ин­тер­нет. Поль­зо­ва­те­лям ро­у­те­ров Keenetic для этой це­ли, к при­ме­ру, до­ступ­ны сег­мен­ты (см. раз­дел «Сег­мен­ти­ро­ва­ние се­тей») или спи­сок раз­ре­шен­ных устройств. Кро­ме то­го, проверьте на сай­тах CERT, не вхо­дит ли это устрой­ство в спи­сок небез­опас­ных.

Пра­ви­тель­ствен­ный спи­сок уяз­ви­мо­стей

Да­же круп­ные раз­ра­бот­чи­ки не все­гда способны во­вре­мя под­го­то­вить об­нов­ле­ние, что­бы за­крыть брешь в без­опас­но­сти. К при­ме­ру, так про­изо­шло с уяз­ви­мо­стью Kracks в WPA2 у Android. Еще ху­же си­ту­а­ция об­сто­ит с мел­ки­ми про­из­во­ди­те­ля­ми — за­ча­стую до потребителей ин­фор­ма­ция о кри­ти­че­ском ба­ге во­об­ще не до­во­дит­ся. Что­бы все-та­ки выяснить, нет ли в ва­ших устрой­ствах неза­кры­тых бре­шей, вос­поль­зуй­тесь сай­та­ми CERT из США (www.us-cert.gov) и Рос­сии (www.cert. ru/ru/about.shtml). Здесь вы узна­е­те о со­вре­мен­ных угро­зах про­грамм­но­му и ап­па­рат­но­му обес­пе­че­нию, а так­же най­де­те клас­си­фи­ка­цию уяз­ви­мо­стей по их тя­же­сти. Ес­ли патч до сих пор недо­сту­пен, имей­те в ви­ду сле­ду­ю­щее: не­ко­то­рые про­бле­мы мож­но ло­ка­ли­зо­вать, к при­ме­ру, огра­ни­че­ни­ем до­сту­па в Ин­тер­нет (см. раз­дел «Сег­мен­ти­ро­ва­ние се­тей»). Ес­ли это невоз­мож­но, ре­ко­мен­ду­ем до вы­хо­да пат­ча ис­клю­чить устрой­ство из ло­каль­ной се­ти. Ре­гу­ляр­но про­ве­ряй­те сайт про­из­во­ди­те­ля на пред­мет по­яв­ле­ния но­вых про­ши­вок (в ро­у­те­рах Keenetic ин­фор­ма­ция о до­ступ­но­сти но­вой про­шив­ке отоб­ра­жа­ет­ся в раз­де­ле «Об­нов­ле­ния»).

Ес­ли вы будете сле­до­вать со­ве­там из этой ста­тьи, ха­ке­рам крайне слож­но бу­дет про­ник­нуть в ва­шу сеть и пе­ре­хва­тить кон­троль за ком­по­нен­та­ми ум­но­го до­ма. Пра­виль­ная кон­фи­гу­ра­ция в боль­шин­стве слу­ча­ев поз­во­ля­ет ор­га­ни­зо­вать за­щи­ту уже сей­час, по­ка нет спе­ци­а­ли­зи­ро­ван­ных ан­ти­ви­ру­сов для та­ких устройств. Ведь, су­дя по за­яв­ле­ни­ям раз­ра­бот­чи­ков, эта про­бле­ма в бли­жай­шее вре­мя не ре­шит­ся.

Бюд­жет­ная за­щи­та от атак Tp-link TL WR940N — один из са­мых недо­ро­гих ро­у­те­ров с про­шив­кой DD-WRT, ко­то­рая поз­во­ля­ет вно­сить глу­бо­кие из­ме­не­ния в се­те­вые на­строй­ки

От­клю­че­ние уда­лен­но­го до­сту­па Для Iot-устройств, та­ких как Philips Hue, от­клю­чи­те уда­лен­ный до­ступ че­рез Ин­тер­нет с ва­ше­го смарт­фо­на к Hue Bridge

Вла­дель­цы Keenetic мо­гут со­здать про­фи­ли до­сту­па 1 . Они поз­во­ля­ют ре­гу­ли­ро­вать до­ступ к Ин­тер­не­ту для каж­до­го от­дель­но­го устрой­ства 2 . Эту за­щи­ту ха­ке­рам обой­ти непро­сто Своя по­ли­ти­ка до­сту­па для каж­до­го устрой­ства

Со­вет скрыть се­те­вое имя (SSID) убе­ре­жет вас толь­ко от неопыт­ных взлом­щи­ков и до­ба­вит неудоб­ства вам са­мим

Огра­ни­че­ние до­сту­па Раз­ре­ши­те до­ступ в сеть толь­ко за­ре­ги­стри­ро­ван­ным устрой­ствам. Но­вые кли­ен­ты бу­дут ав­то­ма­ти­че­ски бло­ки­ро­вать­ся ро­у­те­ром

От­клю­чи­те все воз­мож­но­сти уда­лен­но­го до­сту­па к ва­ше­му ро­у­те­ру. Че­рез необ­хо­ди­мые для это­го пор­ты ха­ке­ры про­во­дят свои ата­ки

Мил­ли­ар­ды по­тен­ци­аль­ных це­лей атак За три го­да чис­ло по­тре­би­тель­ских Iot-устройств вы­рос­ло по­чти до 13 млрд — боль­шин­ство из них, по мне­нию экс­пер­тов, уяз­ви­мо

Про­шив­ка DD-WRT поз­во­ля­ет пол­но­стью от­клю­чить груп­пы устройств от Ин­тер­не­та, огра­ни­чив их до­сту­пом толь­ко в ло­каль­ную сеть

Кноп­кой «Add» в про­шив­ке DD-WRT мож­но со­здать вир­ту­аль­ную бес­про­вод­ную сеть 1 , что­бы за­тем за­пре­тить устрой­ствам вза­и­мо­дей­ствие меж­ду со­бой 2 , раз­ре­шив толь­ко до­ступ в Ин­тер­нет От­дель­ный Wi-fi для ум­ных устройств

По­иск ба­гов На­жа­ти­ем на «Shieldsup» 1 вы про­ве­ри­те свою сеть на на­ли­чие от­кры­тых пор­тов. Для по­лу­че­ния справ­ки об из­вест­ных ба­гах сто­ит по­се­тить веб­сай­ты CERT 2

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.