Как настроить домашний роутер, чтобы сделать сеть безопасной
Как настроить домашний роутер, чтобы сделать сеть безопасной
C распространением широкополосного доступа в интернет и карманных гаджетов стали чрезвычайно популярны беспроводные роутеры (маршрутизаторы). Такие устройства способны раздавать сигнал по протоколу Wi-Fi как на стационарные компьютеры, так и на мобильные устройства — смартфоны и планшеты, — при этом пропускной способности канала вполне достаточно для одновременного подключения нескольких потребителей.
Сегодня беспроводной роутер есть практически в любом доме, куда проведён широкополосный интернет. Однако далеко не все владельцы таких устройств задумываются над тем, что при настройках по умолчанию они чрезвычайно уязвимы для злоумышленников. И если вы считаете, что не делаете в интернете ничего такого, что могло бы вам повредить, задумайтесь над тем, что перехватив сигнал локальной беспроводной сети, взломщики могут получить доступ не только к вашей личной переписке, но и к банковскому счёту, служебным документам и любым другим файлам.
Хакеры могут не ограничиться исследованием памяти исключительно ваших собственных устройств — их содержимое может подсказать ключи к сетям вашей компании, ваших близких и знакомых, к данным всевозможных коммерческих и государственных информационных систем. Более того, через вашу сеть и от вашего имени злоумышленники могут проводить массовые атаки, взломы, незаконно распространять медиафайлы и программное обеспечение и заниматься прочей уголовно наказуемой деятельностью.
Между тем, чтобы обезопасить себя от подобных угроз, стоит следовать лишь нескольким простым правилам, которые понятны и доступны даже тем, кто не имеет специальных знаний в области компьютерных сетей. Предлагаем вам ознакомиться с этими правилами.
Собственно, кнопка WPS/Reset на роутере или любом другом устройстве активирует данную функцию. Суть ее использования заключается в том, что после того, как нажать WPS, роутер генерирует зашифрованный сигнал с информацией о настройках сети wifi.
Он по беспроводной связи принимается беспроводным адаптером того устройства, которое мы хотим подключить к роутеру — модемом, принтером, камерой, репитером и т.д. В результате, нет необходимости вводить вручную пароль для соединения с сигналом.
Удобства использования WPS очевидны. Например, вы купили USB адаптер и хотите подключить к своему роутеру ноутбук или компьютер. Но как именно правильно настроить его, не знаете. Либо у вас элементарно нет пароля от WiFi, а доступ в админку роутера закрыт.
Тогда нам поможет функция кнопки WPS при условии, что эта технология поддерживается и роутером или модемом, и wifi адаптером. Узнать об этом легко. На корпусе обоих устройств должна присутствовать соответствующая кнопка WPS, активирующая данный режим.
Точно таким же образом можно присоединить к роутеру другие беспроводные устройства с поддержкой Wi-Fi Protected Setup — ТВ, IP камеры, wifi усилители, накопители и т.д.
Защитите настройки маршрутизатора паролем
Этот пароль никак не относится к Wi-Fi. Он используется исключительно для защиты настроек роутера. Чтобы никто кроме вас не смог зайти в веб-интерфейс роутера и сменить там какие-то настройки. Как правило, устанавливается логин и пароль (иногда только пароль) . На некоторых роутерах он установлен по умолчанию. Обычно используется admin/admin. Если по умолчанию пароль не установлен, то в процессе первой настройки роутер предлагает установить его. Но это в любой момент можно сделать в панели управления.
После установки/смены пароль, его нужно будет вводить каждый раз, когда вы будете заходить в веб-интерфейс.
На эту тему я уже подготовил отдельную статью: как на роутере поменять пароль с admin на другой. Там я показывал, как установить пароль на роутерах ASUS, D-Link, TP-Link, ZyXEL.
Чем опасны визитеры
Если не позаботиться о надлежащей настройке определенных параметров, к вашей сети будут подключаться и тянуть приличную долю скорости на себя, могут перенастроить роутер или же вовсе добраться до вашего компьютера, если на другой стороне заинтересованный человек с определенными навыками взлома.
Вывод таков: если не обезопасить себя, рано или поздно это может сыграть с вами злую шутку; особенно это актуально для мест, где Wi-Fi может стать почти что общественным, – многоэтажные дома, дома рядом с парками и так далее.
Где искать настройки роутера
Если вы только купили устройство и еще ничего не меняли, но хотите хотя бы минимально обезопасить свою беспроводную сеть, вам нужно будет выполнить действия, описанные ниже.
Для начала откройте браузер, который у вас есть на компьютере. Находим вверху адресную строку и вводим значения 192.168.1.1. Если не выходит, меняем первую единицу на ноль, получается 192.168.0.1. Конечно, могут быть ситуации, когда производитель поменял стандартный адрес: в этом случае вы найдете его либо на наклейке устройства, либо на коробке.
Следующее окно, которое вы увидите, будет предназначено для логина и пароля: по умолчанию это слово admin, или снова-таки уточняем на наклейке устройства. Кстати, первая и самая примитивная причина уязвимости – оставить на маршрутизаторе стандартные данные для входа.
Ну и вот теперь, когда вы уже попали внутрь, начинается самое интересное — настройка безопасности Wi-Fi.
Как себя обезопасить
Мы будем показывать все на примере модема TP-Link. И первую очередь сменим логин и пароль.
Находим слева пункты меню и там выбираем «Системные инструменты», а далее в подменю – пункт «Пароль». Тут мы вписываем в первые два поля старые данные, затем новый логин и два раза новый пароль. После чего нам остается только нажать на «Сохранить».
Продолжаем усиливать безопасность Wi-Fi и меняем название сети или SSID. Тут мы отправляемся во вкладку «Беспроводной режим» и далее действуем, как показано на скриншоте. Важно использовать в названии латиницу и цифры – кириллицу вообще не используем.
В некоторых устройствах также есть особый параметр – сокрытие имени сети, благодаря чему после первой правильной настройки вам уже ничего не придется вводить вручную: компьютер или планшет будут подключаться автоматически, и никто не сможет попасть в интернет без разрешения даже с вашего компьютера.
Третье действие, которое направлено на защиту вашей сети, это смена шифрования – тут все и так понятно. Использовать WEP-шифрование нет смысла, так как оно прилично устарело и имеет много изъянов.
Здесь мы ищем «Основные настройки», затем «Беспроводной режим» и в нем пункт «Защита беспроводного режима». На вкладке рекомендуем использовать WPA-PSK/WPA2-PSK. Теперь снова сохраняем.
Еще одна функция, которая необходима только в 10% случаев, но создает серьезную брешь, – это WPS: находим отдельную вкладку с ним и отключаем, после чего снова сохраняем изменения.
Теперь у нас на очереди такой аспект безопасности Wi-Fi, как защита IP с помощью Firewall. Конечно же, на всех компьютерах, которые будут подключены к сети, также должны быть включены файерволы и установлено антивирусное программное обеспечение.
Идем во вкладку «Безопасность», там нас интересует «Базовая защита». Здесь нам нужен «Межсетевой экран SPI», напротив которого мы отмечаем пункт «Активировать». Это дает нам еще один плюсик на пути к относительной защищенности.
На крайний случай, если кто-то все же может подобрать пароль, есть такой вариант, как фильтрация по адресам MAC – включив ее, вы можете еще больше повысить безопасность раздачи Wi-Fi путем строгого ограничения доступа к нему. По сути, подключаться смогут только занесенные в список устройства, а другим вход будет закрыт при любых условиях.
Находим пункт «Беспроводной режим» и подпункт «Фильтрация MAC-адресов». Тут нам нужно кликнуть по кнопке «Включить» и выбрать пункт «Разрешить». Теперь внизу находим кнопку «Добавить» и выписываем необходимые адреса: не забываем называть устройства, чтобы было удобнее разбираться.
Чтобы узнать MAC-адрес своего компьютера, достаточно зайти в меню «Пуск» и найти там командную строку, либо же найти пункт «Выполнить» и там вписать cmd: в обоих случаях вы увидите перед собой такое окно, как на скриншоте, в котором нужно вписать getmac. На скриншоте необходимое поле выделено красной рамкой.
Чтобы получить информацию об адресе планшета или телефона на Android, отправляйтесь по пути: «Настройки» > «О телефоне» > «Техническая информация». Теперь вы будете защищены от разного рода вторжений.
Некоторые из устройств имеют внутри настроек интересную функцию – настройки расписания работы, благодаря которым устройство будет работать и будет в доступе только в определенное время и в определенные дни.
Также удобным решением может стать гостевой режим, если у вашего роутера таковой имеется: благодаря ему создается отдельная изолированная сеть со своими адресами.
Безопасность сетей Wi-Fi – это важный вопрос, которое не нужно откладывать на потом или игнорировать, так что советуем приняться за дело прямо сейчас.
Пароль (ключ) WPA PSK
Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.
Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки: – @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что “z” и “Z” это разные символы.
Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.
Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: как узнать свой пароль от Wi-Fi.
Так же не забудьте установить хороший пароль, который будет защищать веб-интерфейс вашего маршрутизатора. Как это сделать, я писал здесь: как на роутере поменять пароль с admin на другой.
Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. WPA2 – Personal в паре с AES и сложным паролем – вполне достаточно.
А как вы защищаете свою Wi-Fi сеть? Напишите в комментариях. Ну и вопросы задавайте 🙂
Виды шифрования сети
В настоящее время Wi-Fi маршрутизаторы используют три разных типа шифрования.
- WEP
- WPA
- WPA2
Отличаются они друг от друга не только количеством доступных для создания пароля символов, но и другими не менее важными особенностями.
Самым ненадежным и менее популярным типом шифрования на сегодняшний день является WEP. В общем-то, этот тип шифрования использовался раньше и сейчас применяется редко. И дело тут не только в моральной старости такого типа шифрования. Он действительно достаточно ненадежный. Пользователи, использующие устройства с WEP-шифрованием имеют довольно высокие шансы на то, что их собственный ключ безопасности сети будет взломан сторонним пользователем. Данный вид шифрования не поддерживается многими современными Wi-Fi роутерами.
Последние два типа шифрования намного более надежны и гораздо чаще используются. При этом у пользователей имеется возможность выбрать уровень безопасности сети. Так, WPA и WPA2 поддерживают два вида проверки безопасности.
Один из них рассчитан на обычных пользователей и содержит один уникальный пароль для всех подключаемых устройств.
Другой используется для предприятий и значительно повышает уровень надежности сети Wi-Fi. Суть его заключается в том, что для каждого отдельного устройства создается собственный уникальный ключ безопасности.
Таким образом, становится практически невозможно без разрешения подключиться к чужой сети.
Тем не менее, выбирая свой будущий маршрутизатор, следует остановить свой выбор именно на той модели, которая поддерживает именно WPA2-шифрование. Объясняется ее большей надежностью в сравнении с WPA. Хотя, конечно же, WPA-шифрование является достаточно качественным. Большинство маршрутизаторов поддерживают оба эти вида шифрования. 
Обычно они располагают на задней панеле. Но есть и такие, к которым нужен постоянный доступ. Они могут быть вынесены на переднюю панель устройства.
Рассмотрим какие есть кнопки на Wi-Fi роутерах и их значение.
Питание/Power
Предназначена для включения/выключения питания. Встречается не на всех моделях роутеров. Обычно расположена на задней панели рядом с гнездом адаптера питания. Позволяет выключить устройство, не отсоединяя адаптер от розетки. Это удобно, особенно если нужно перезагрузить устройство. Если её на вашем роутере нет, то для перезагрузки потребуется вынуть адаптер из розетки, а затем снова подключить его. Не очень удобно, если розетка расположена в труднодоступном месте, за шкафом или под столом. Иногда ей пользуются для выключения роутера на ночь.
Включения и отключения Wi-Fi
Некоторые маршрутизаторы снабжены кнопкой, одним нажатием которой можно выключить или включить трансляцию беспроводной сети. Точно так же, как и в случае с кнопкой Power, она есть не на всех моделях роутеров. Обозначается надписью WLAN или значком подключения к беспроводной сети. Располагается она обычно на лицевой части устройства, сверху или сбоку. Если её нет, для отключения и включения Wi-Fi потребуется войти в веб-интерфейс устройства и сделать это оттуда. Наличие аппаратной кнопки упрощает эту процедуру.
На роутерах фирмы ZyXEL кнопка Wi-Fi расположена на передней панели. При кратковременном её нажатии она действует как кнопка WPS, которую мы рассмотрим ниже. Если же её удерживать нажатой дольше трёх секунд, она включит или отключит Wi-Fi. О текущем состоянии видно по индикатору WLAN.
WPS (QSS)
Такая кнопка есть на большинстве современных роутеров.
На роутерах TP-Link она обозначается как QSS. Расположена она сверху или сбоку, иногда на задней панели и часто обозначается двумя стрелочками. За аббревиатурой WPS прячется Wi-Fi Protected Setup, технология упрощённого подключения к сети Wi-Fi. Она позволяет подключиться к беспроводной сети без ввода пароля.
Достаточно нажать кнопку на роутере и активировать WPS-подключение на смартфоне или ноутбуке. Подключение будет установлено автоматически. Как использовать WPS описано в специальной статье на нашем сайте.
RESET (сброс настроек)
Она присутствует на всех маршрутизаторах. Предназначена для возврата устройства к заводским настройкам. Может понадобиться в случае если вы что-то поменяли в параметрах и роутер начал работать неправильно. А также если утерян пароль и вы не можете войти в веб-интерфейс. Рекомендуется также сбросить настройки устройства если ранее оно уже настраивалось, а теперь вы его планируете подключить к другому провайдеру.
Кнопка RESET располагается на задней панели и чаще всего утоплена в корпусе. Чтобы нажать на неё понадобится тонкий твёрдый предмет. Например, канцелярская скрепка. Для сброса настроек нужно нажать и удерживать более 10 секунд. На некоторых роутерах, как уже было отмечено, кнопка RESET совмещена с WPS. В этом случае она выглядит как обычная кнопка.
Кнопка FN
Самая универсальная кнопка, какая только встречается на домашних роутерах. Правда, встречается она редко. Оснащены ею роутеры фирмы ZyXEL, но не все. По умолчанию используется для безопасного отключения USB-устройств. Но на самом деле кнопка FN многофункциональная.
Аббревиатура FN – это сокращение английского слова «Function», то есть «Функция».
Кнопке FN на Wi-Fi роутере можно назначить различные функции, например для управления:
- Wi-Fi сетями.
- DLNA-сервером.
- Встроенным Торрент-клиентом.
Функции можно выбрать из списка в меню настройки. А настраивается кнопка FN через веб-интерфейс.
Вот таков перечень кнопок, которые встречаются на домашних Wi-Fi роутерах.
Безопасное отключение USB
Размещаются рядом с USB портами. Описанная выше FN отвечает по умолчанию за эту же функцию.
Выше на фотографии изображён роутер Zyxel Keenetic Giga. На его боковой панеле расположены два USB порта. Для безопасного извлечения рядом с каждым из портов есть соответствующие им кнопки A и B.
Кнопка WPS: потому что это удобно
Для подключения устройства к беспроводной сети без использования технологии WPS, мы должны выполнить некоторые действия, очень раздражающие. Мы должны сказать, к какой сети подключиться из списка всех беспроводных сетей, которые удаётся обнаружить, а затем ввести пароль доступа. В некоторых случаях также потребуется указать какой стандарт безопасности используется для входа в систему (например, WPA).
Когда устройство «видит» только одну сеть, процедура может быть достаточно простой. Но, если оно находит несколько, например, несколько беспроводных сетей большого офиса, подключение устройства может стать очень неудобным, потому что сети определяются с помощью стандартных имён SSID (Service Set Identifier).
С кнопкой WPS всё происходит автоматически: единственное, что нам будет предложено сделать, это нажать на кнопку и, в некоторых случаях, ввести PIN-код WPS, который мы найдём на роутере (как правило, на наклейке с логотипом).
7 советов по настройке домашнего Wi-Fi-роутера
Неправильная настройка роутера может привести к серьезным проблемам. Несколько простых шагов помогут вам защитить домашнюю беспроводную сеть
12 декабря 2014
Мы неоднократно писали про опасности, подстерегающие пользователей открытых беспроводных сетей, но сегодня хотелось бы поговорить об угрозах, специфичных для домашних сетей Wi-Fi. Многие владельцы беспроводных роутеров не считают эти угрозы серьезными, но мы попробуем развеять это заблуждение. Руководство ни в коем случае не является исчерпывающим, однако выполнение нескольких простых шагов позволит вам существенно повысить уровень безопасности сети.
Совет 1. Меняем пароль администратора
Одна из самых распространенных ошибок — использование установленного производителем по умолчанию пароля администратора (чаще всего это что-нибудь вроде «admin:admin» и тому подобные «1234»). В сочетании с какой-нибудь некритичной удаленной уязвимостью или с открытым для всех подключением к беспроводной сети это может дать злоумышленникам полный контроль над роутером. Мы настоятельно рекомендуем установить безопасный пароль, если вы этого еще не сделали.
Меняем пароль администратора
В качестве иллюстраций мы приводим скриншоты настройки роутера TP-Link. Разумеется, в маршрутизаторах других производителей меню выглядит иначе, но общая логика должна быть схожей.
Совет 2. Запрещаем удаленное управление
Вторая проблема — открытый доступ к интерфейсу управления роутером. Обычно производители по умолчанию разрешают администрировать устройство только из локальной сети, но так бывает далеко не всегда. Обязательно проверьте, доступен ли веб-интерфейс из Интернета.
Отключаем удаленное администрирование
Как правило, для отключения удаленного администрирования нужно убрать соответствующую галочку (в нашем случае с роутером TP-Link — ввести адрес 0.0.0.0). Также имеет смысл заблокировать доступ к роутеру из Глобальной сети по Telnet или SSH, если он поддерживает данные протоколы. Опытные пользователи могут ограничить возможности управления и в локальной сети — по аппаратным адресам устройств (так называемым MAC-адресам).
Совет 3. Отключаем Broadcast SSID
Как правило, беспроводной роутер сообщает всем желающим идентификатор вашей сети Wi-Fi (SSID). При желании такое поведение можно изменить, убрав соответствующую галочку в настройках. В этом случае злоумышленникам будет сложнее взломать сеть, но при настройке беспроводного подключения вам придется на каждом устройстве вводить ее имя вручную. Этот шаг необязателен.
Отключаем Broadcast SSID
Совет 4. Используем надежное шифрование
Нужно ли пускать всех желающих в беспроводную сеть при наличии дома безлимитного доступа в Интернет? Мы категорически не рекомендуем этого делать — среди «добропорядочных любителей халявы» может найтись один юный хакер, и здесь возникают угрозы, характерные для публичных хотспотов: кража данных учетных записей почтовых сервисов и социальных сетей, кража данных банковских карт, заражение домашних машин вирусами и так далее.
Включаем шифрование WPA2
Кроме того, вашу сеть злоумышленники смогут использовать для совершения мошеннических действий (полиция при этом придет к вам). Так что лучше всего включить шифрование WPA2 (алгоритм WEP недостаточно надежен) и установить безопасный пароль для подключения к Wi-Fi.
Совет 5. UPnP и все-все-все
Современные беспроводные маршрутизаторы умеют не только раздавать Wi-Fi и обеспечивать узлам локальной сети доступ в Интернет — как правило, они поддерживают разнообразные протоколы, позволяющие автоматически настраивать и соединять между собой подключенные «умные устройства».
Universal Plug and Play (UPnP), поддержку стандартов DLNA (Digital Living Network Alliance) и тому подобные вещи лучше отключать, если вы ими не пользуетесь, — так меньше шансов стать жертвой очередной уязвимости, найденной в ПО, использующем данные функции. Вообще это универсальное правило: все лишнее стоит отключить. Если что-то из отключенного вам потребуется, просто включите обратно, это несложно.
Совет 6. Обновляем встроенное ПО
Очень часто владельцы роутеров не следят за выходом свежих прошивок для своих устройств. Мы рекомендуем устанавливать актуальные версии встроенного ПО, скачанные с официальных сайтов производителей, — они исправляют ошибки и закрывают разнообразные уязвимости, позволяющие злоумышленникам взломать вашу сеть.
Инструкции по обновлению ПО обычно есть на соответствующей вкладке веб-интерфейса роутера. Вам нужно будет скачать образ прошивки, сделать резервную копию конфигурации (иногда старый файл нельзя использовать с новой прошивкой, и тогда придется настроить роутер заново), запустить процесс обновления и восстановить конфигурацию после перезагрузки.
Обновление прошивки роутера — самый простой и одновременно самый необходимый шаг
Можно использовать сделанные энтузиастами сторонние прошивки для вашего устройства (например, OpenWRT), но делать это следует с осторожностью — нет гарантии, что роутер нормально запустится после обновления. Кроме того, написанное сторонними разработчиками ПО также следует скачивать только с официальных сайтов известных проектов — ни в коем случае не доверяйте продуктам из непонятных источников.
Совет 7. Не только роутер
Абсолютно надежной защиты не бывает — этот тезис доказан многолетней практикой. Грамотная настройка роутера, использование надежных паролей и алгоритмов шифрования, а также своевременное обновление встроенного ПО существенно повышают уровень безопасности беспроводной сети, но не дают стопроцентной гарантии от взлома.
Защититься можно лишь комплексно, поэтому мы рекомендуем использовать на компьютерах и мобильных устройствах современные брандмауэры и антивирусные программы с актуальными базами сигнатур зловредов. К примеру, Kaspersky Internet Security 2015 позволяет проверить уровень безопасности беспроводной сети и дает рекомендации по изменению ее настроек.
