WiFi-роутер Asus: настройка портів, щоб важко було зламати!

1. Житель Зерноград влаштував землякам «бездротову електропередачу»
2. Високий рівень «розумний будинок» не дасть в образу себе - і вас!

Наша взаимовыгодная связь https://banwar.org/

TechnoDrive неодноразово писав про те, що захищати WiFi-роутер необхідно, і що це повинно бути головною турботою адміністратора домашньої мережі. З чого б це, запитаєте ви? Адже інформація на маршрутизаторі зазвичай не зберігається! Це так, проте через роутер проходять ваші дані, і на зламаному пристрої вони можуть бути перехоплені або перенаправлені. Після чого, наприклад, ви надасте свій логін і пароль зовсім не улюбленої соціальної мережі або банку, а введете його на підробленої сторінці зловмисників (нагадує потрібну лише дизайном). Нещодавно автор був свідком того, як роутер Asus в домашній мережі був зламаний під час звичайного перегляду фільму з Інтернету на планшеті. Давайте подумаємо, як цього можна було уникнути?

Для безпечної настройки роутера веб-інтерфейсу недостатньо
Отже, роутер Asus був зламаний через Інтернет при звичайному перегляді фільму онлайн на планшеті в домашній мережі. Гаджет, відповідно, був підключений по WiFi. При цьому, на планшеті використовувався фірмовий браузер, - без всяких плагінів, - з найсвіжішою версією модною ОС.
Здавалося б, ніщо не віщувало біди! Адже маршрутизатор був захищений довгим паролем, telnet-доступ (як і адміністрування через браузер з Інтернету) були заблоковані, бездротова мережа була доступна тільки для довірених MAC-адрес, а для шифрування використовувалося технологія WPA2-PSK (AES). Ідентифікатор мережі SSID був прихований (і так далі).
Однак настройка роутера Asus була змінена прямо з веб-сторінки «кінотеатру», після чого Інтернет пропав, а після перезавантаження роутера зв'язок відновилася з прикрим «нововведенням». Пароль для адмінки роутера вже не працював!
Цей випадок яскраво продемонстрував, що настройка роутера повинна включати в себе не тільки обов'язкові маніпуляції з веб-інтерфейсом, але і щось більше!
І пов'язано це з тим, що виробники домашніх маршрутизаторів не завжди надають нові прошивки вчасно, а роутери зі старим програмним забезпеченням часто містять відомі хакерам уразливості.
Як же все-таки не дати зламати роутер?
0. Насамперед, дотримуйтесь інструкцій з тексту за посиланням, потрібний розділ називається Як налаштувати WiFi (Інакше далі можна не читати).
1. Ретельно пошукайте в Інтернеті, чи не входить виробник вашого WiFi-роутера в заголовки новин про уразливості.
Приклад запиту на англійській мові: «asus router vulnerability» (російською інформація може запізнюватися).
Вендор «засвітився»? Треба діяти! Причому, діяти навіть в тому випадку, якщо використовується інша модель WiFi-роутера, ніж в оглядах (вашу могли не встигнути протестувати, або тестер живе в країні, де вона не продається).
Увага! Подальші дії ви виконуєте на свій страх і ризик. Автор не може передбачити наслідків для всіх роутерів всіх виробників при налаштуванні всіх версій операційних систем. Перепрошивка і iptables - це серйозно, є шанс поламати пристрій так, що не відновить і сервісний центр! Особливо це стосується перепрошівок!
2. Якщо засвічена в Інеті вразливість «лікується» новою прошивкою, спробуйте поміняти прошивку. Не поспішайте, уважно прочитайте інструкції на сайті виробника!
Порада: під рукою бажано мати запасний робочий WiFi-маршрутизатор, якщо перепрошивка «перетворить в цеглина» (або тимчасово зробить недоступним) вашого основного «пацієнта». Або, як мінімум, потрібен альтернативний доступ в Інтернет з мобільного пристрою, не прив'язаного до «локалке» і WiFi.
Підказка: ми не рекомендуємо використовувати «альтернативні» прошивки, хоча б тому, що в них уразливості теж зустрічаються. Альтернативні прошивки - це зовсім не панацея проти злому (хоча, звичайно, деякі з них допускають більш тонкі налаштування безпеки)
Налаштування маршрутизатора: спочатку - обов'язкова перевірка скидання параметрів через виключення і включення
Далі починається найцікавіше! Щоб запобігти злому роутера, ми вручну захищаємо його порти для того, щоб заражений планшет, смартфон, Smart TV або «розумний холодильник» не змогли дістатися до адмінки WiFi-роутера. Звичайно, це не гарантія 100%, але здорово ускладнює роботу шкідливим скриптів!
Перш за все, потрібно переконатися в тому, що до маршрутизатора є доступ через Telnet, і що наші нові додаткові налаштування скинуться, якщо вимкнути і включити роутер!
1. Переконайтеся в тому, що у вас є доступ до роутера по ТЕЛНЕТ. Для це дізнайтеся IP-адресу роутера. Натисніть «Пуск» - «Виконати» - введіть «cmd» - «Enter» - введіть «ipconfig / all» - «Enter». «Основний шлюз» - це і є айпішник роутера.
Команда для Linux: «route -n», шукайте другий IP в першому рядку.
2. Спробуйте зайти в роутер через Telnet, наберіть в чорному вікні терміналу: «telnet IP_адрес_роутера» (наприклад, 192.168.1.2).
Тут і далі ми вважаємо, що роутер використовує для підключення Telnet порт за замовчуванням (23).
До речі, доступ через Telnet повинен бути попередньо дозволений через веб-інтерфейс роутера, введіть в браузері адресу http: // IP_адрес_роутера і пошукайте цю опцію в налаштуваннях (в стані Off Телнет точно не буде підключатися).
3. Логін і пароль для ТЕЛНЕТ повинні бути такі ж, як для web-інтерфейсу управління, і якщо вони «admin / admin» або «admin / 1234», то обов'язково встановіть нормальний довгий пароль з спецсимволами і цифрами через web-інтерфейс!
4. Будемо вважати, що ви увійшли в роутер через Telnet, тобто отримали рядок запрошення приблизно наступного вигляду: admin @ модель: текущій_путь #. Далі починається експериментування!
Повторюємо, ви дієте на свій страх і ризик, автор не може гарантувати, що його особистий досвід можна успішно повторити на всіх можливих роутерах!
5. Давайте спробуємо заблокувати який-небудь сайт, який вам ніколи не знадобиться, з метою тестування роботи netfilter і для перевірки успішної роботи скидання параметрів при відключенні роутера.
Наприклад, нехай цим сайтом буде 'Action For Singapore Dogs' (asdsingapore.com, IP: 192.185.46.70). Відкрийте в інтернет-браузері адресу asdsingapore.com. Відкрився? Тепер введіть в терміналі команду:
iptables -I FORWARD -s 192.185.46.70 -j DROP
6. Якщо роутер не лається на цю команду, а сприйняв її цілком спокійно, то відкрийте інтернет-браузер і спробуйте зайти на сайт asdsingapore.com. Якщо раніше він Грузії, а тепер - НІ, значить ви можете закривати порти на своєму wifi-роутері Asus (або на будь-якому іншому, який ви тестируете).
У вас працює netfilter і є права використовувати iptables!
7.САМАЯ ВАЖНАЯ ЧАСТИНА! Вимкніть WiFi-роутер з мережі, а через кілька секунд включіть назад. Якщо пройшла хвилина, і сайт asdsingapore.com знову завантажуватися в браузері, значить, включення і виключення стер зміни в iptables і ви можете безперешкодно вносити туди свої правки, а потім скидати їх (коли знадобиться доступ до панелі управління) простим вимиканням і включенням роутера.
8. А ось якщо asdsingapore.com після маніпуляцій з iptables НЕ вантажиться, краще не експериментувати далі! Це говорить про те, що пристрій запам'ятовує свій стан, і невірно введені команди змусять вас, як мінімум, повертати маршрутизатор до заводських налаштувань (процес описаний в інструкції по налаштуванню роутера) або звертатися в сервісний центр.
9.Еслі ж 'Action For Singapore Dogs' був вами успішно заблокований, а потім благополучно відкрився, введіть по ТЕЛНЕТ нові команди «в чорному вікні», рядок за рядком:
iptables -I INPUT -p udp --dport 443 -j DROP
iptables -I INPUT -p udp --dport 80 -j DROP
iptables -I INPUT -p udp --dport 23 -j DROP
iptables -I INPUT -p udp --dport 22 -j DROP
iptables -I INPUT -p udp --dport 21 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -p tcp --dport 21 -j DROP
iptables -I INPUT -p tcp --dport 23 -j DROP; exit
Підказка: це не так складно, адже «стрілка вгору» дозволяє знову відкривати попередні рядки і редагувати їх, а потім потрібно натиснути «Enter». Крім того, рядки можна просто скопіювати і виконати, одну за одною, з тексту TechnoDrive у вікні терміналу.
10. Якщо ви заходите з 23-го порту ТЕЛНЕТ (це настройка за замовчуванням), то після останньої рядки у вас пропаде доступ до роутера і він вийде з Telnet. Так і має бути!
Тепер даними портами (21, 22, 23, 80 і 443), за протоколами TCP і UDP не зможуть скористатися хакери (навіть якщо зламають призначені для користувача пристрої вашої мережі, наприклад, «IP-відеоняню» або «розумну лампочку»).
11. А коли вам знадобиться увійти в адмінку (панель управління) через браузер, досить буде вимкнути і включити роутер.
Потім внести, при необхідності, всі налаштування роутера через веб-інтерфейс, а потім повторити все те, що було сказано вище про telnet і iptables (за винятком тестування сайту з Сінгапуру).
До речі, якщо в вразливості вашого роутера в Інтернеті вказані та інші вразливі порти, наприклад, 9999, потрібно внести їх в початок списку команд! Робочий приклад:
iptables -I INPUT -p udp --dport 9999 -j DROP
iptables -I INPUT -p tcp --dport 9999 -j DROP
Інакше настройка роутера буде неповною, є шанс злому маршрутизатора саме через цей порт! Іншими словами, ваш виробник міг задіяти для управління пристроєм і нестандартні порти, тоді правила для iptables треба коригувати. Загалом, постарайтеся дізнатися про недоліки вашого маршрутизатора в Інтернеті якомога більше!
Що робити, якщо налаштувати роутер «до кінця» не виходить?
Звичайно, бажано закрити всі підозрілі порти в WiFi-роутера, оскільки через них зазвичай підміняють DNS і навіть перепрошивати маршрутизатори.
Залишити відкритим, наприклад, коштує UDP-порт для служби DHCP / 67 (хоча без DHCP можна обійтися, якщо мережеві установки на всіх пристроях задати вручну). Їх поточний стан, в режимі автоматичної настройки (на кожному клієнті), можна виписати - і потім внести IP-адреси в поля для статичної настройки.
Питання про UPD для DNS-порту 53 більш спірне, тут потрібно експериментувати в залежності від того, які DNS-сервери і мережеві настройки ви використовуєте. Наприклад, при статичних IP (без DHCP) і гугловських DNS-серверах, заданих нами на кожному «клієнта», закритий по протоколам TCP / UDP порт 53 на роутері Asus на роботу мережі погано не впливав.
А якщо зовсім «забити» на настройку роутера?
Якщо ж зовсім не налаштовувати роутер проти злому, як було сказано вище, після вторгнення хакерів, наприклад, ви наберете в браузері на будь-якому пристрої у домашній мережі online.svoi-bank-doverie.ru, і потрапите на сайт-«обманку», де у вас намагаються витягнути логін і пароль від банківського рахунку. Чи залишиться надія тільки на SMS-верифікацію!
Те ж стосується і соціальних мереж! Іншими словами, роутер, який не стали захищати, це дуже і дуже небезпечно!
WiFi-роутер можна захистити від атак клієнтських пристроїв, захистивши самі ці пристрої
про Windows-машини все ясно, їх потрібно добре захищати за замовчуванням. приклад вразливостей в Windows, що допускають ймовірний взлом .
Що ж стосується планшетів, то в якості заходів захисту браузерів від атак, які зачіпають роутери (і не тільки!) Порекомендуємо Kaspersky Safe Browser для iOS і AdBlock Plus для Chrome / Chromium.
Також просунуті технології захисту обіцяє оновлений яндекс.браузер .
Крім того, багато хвалять Dr.Web для Android .
для Smart TV , Холодильників Family Hub і іншого доведеться почекати антивірус як можна частіше міняти прошивки.
Але ці рішення, звичайно, теж не ідеальні! Адже захищені браузери і антіскріптовие плагіни не встигають оновлювати миттєво списки заражених сайтів, а хакери постійно придумують «нестандартні застосування» «що полегшує життя функціоналу» на кшталт WebRTC.
Так що роутер треба захищати в будь-якому випадку!
Для Інтернету речей антивірус поки не придумали
Що ж стосується захисту від хакерів, які будуть ламати IP-відеокамери, просунуту побутову техніку, керовані через Інтернет «розумні» будинки, телевізори і лампочки, годинник, датчики, медіасервери і все інше ... «Тут все погано», і можна дати тільки загальна порада!
Не сильно довіряйте прийдешньому Інтернету речей, захищайте кожен пристрій своєї локальної мережі (Яке можна убезпечити через ретельні налаштування, нові прошивки або відключення від Інтернету, якщо Мережу не дуже потрібно) - ну а роутери потрібно захищати в першу чергу! ..
резюме
У публікації TechnoDrive наведено приклад захисту WiFi-роутера Asus від злому зсередини і зовні локальної мережі за допомогою блокування всіх вхідних TCP / UDP пакетів на популярних портах 21 (FTP), 22 (SSH), 23 (Telnet), 80 (HTTP) і 443 (HTTPS) з використанням iptables (netfilter). Дуже ймовірно, що для вашого роутера потрібно закрити додаткові порти (наприклад, 9999)!
Але чи потрібно попередня тонка настройка веб-інтерфейсу? Звичайно, але потім (зберігши конфігурацію) краще задіяти iptables, щоб хакери не дісталися до панелі управління!
Як отримати доступ назад, якщо потрібно щось переконфигурировать? Вимкніть та увімкніть роутер, і всі ваші додаткові налаштування iptables, що закривають вищевказані порти, повинні зникнути.
Після внесення змін в конфігурацію через веб-інтерфейс знову заблокуйте порти через Telnet. Якщо ваш роутер підключений до електромережі через «бесперебойник», це доведеться робити досить рідко. В іншому випадку додатковий захист буде «обнуляться» кожен раз після відключення живлення (UPD: і після втрати зв'язку з провайдером *).
Як перевірити, що порти закриті? Ви не зможете зайти в адмінку роутера ні через браузер, ні через Telnet, і «Сезам відкриється» лише тільки після вимкнення маршрутизатора. При цьому трафік через роутер повинен вільно проходити, адже ми не міняли в iptables правила FORWARD.
* - В процесі експлуатації з'ясувалося, що піддослідний WiFi-роутер скидає iptables до вихідного стану після автоматичного відновлення зв'язку з провайдером. Як часто? Розрив при ADSL-з'єднання відбувається кожні кілька діб. Як стежити за тим, чи закриті порти? Наприклад, внести IP-адреса веб-інтерфейсу роутера в якості початкової сторінки в браузер. Якщо панель управління роутером завантажується, значить порти розкрилися, і їх знову потрібно закривати через Telnet зазначеними вище командами. Чи можна повністю автоматизувати цей процес? Звичайно, але для цього потрібні навички програміста.

Мало не забули: у TechnoDrive є група ВКонтакте - і на Facebook . Підключайтеся!

Житель Зерноград влаштував землякам «бездротову електропередачу»

Як відомо, легендарний Нікола Тесла був прихильником бездротової передачі електрики на великі відстані. Його відкриття в цій галузі лягли в основу експериментів у багатьох країнах світу, - включаючи СРСР . І, можливо, надихнувшись отриманими результатами, 55-річний житель Зерноград порахував електричні дроти ЛЕП атавізмом, який можна вигідно продати? У будь-якому випадку, озброївшись спеціальним обладнанням, чоловік протягом трьох ночей демонтував 5,5 кілометра ліній електропередач. Однак його ентузіазм не оцінили співробітники енергетичної компанії - і правоохоронні органи, що порушили відносно «послідовника Тесли» кримінальну справу за статтею «Крадіжка».

Високий рівень «розумний будинок» не дасть в образу себе - і вас!

Коли чуєш по радіо в таксі рекламу «розумного будинку», то розумієш, що його нарешті активно виводять на масовий ринок. Це більше не екзотика. Більш того, оператори бачать в цій послузі стартовий майданчик для подальшого зростання. Але далеко не кожен «розумний дім» однаково корисний, вірно? У стільникових операторів, наприклад, техпідтримка могла роками відповідати на поставлене по цьому сервісу питання (перевірено редакцією). Тому, коли випала нагода, ми задали питання по «розумному будинку» « Ростелекому ». І переконалися, що «розумний будинок» від найбільшого російського постачальника цифрових послуг виявився не тільки глибоко продуманим, але і здатним постояти за себе. Ще інформація !!! Кримінал, ПП, хакери