wi-fiНа сьогоднішній день переважна кількість користувачів домашньої мережі використовує Wi-Fi роутери для доступу для глобальної мережі Інтернет, однак Wi-Fi роутери часто використовуються зловмисниками для скоєння шахрайських дій, так яким же чином убезпечити свій домашній роутер від несанкціонованого втручання? Що зловмисник може здійснити знаходячись в вашій Wi-Fi мережі? 1) Зміна налаштувань DNS серверу. Будь-яке доменне ім’я наприклад google.com.ua відповідає індивідуальній IP-адресі тобто сайт google.com.ua відповідає IP-адресі 74.125.232.255, якщо ввести у браузері замість сайту google.com.ua IP-адресу 74.125.232.255 завдяки DNS-серверу буде здійснено перехід на веб-сайт google.com.ua. Так, зловмнисник може змініти DNS-сервер на свій власний і налаштувати наприклад, що б браузер при введенні сайту google.com.ua переходив на його особисту IP-адресу, внаслідок чого буде здійснено перехоплення веб-трафіку або зараження вашого особистого ПК, чи будь-якого пристрою який отримує доступ до глобальної мережі Інтернет з вашого роутеру або точки доступу. 2) Наступне що може здійснити зловмисник – це перехоплення вашої особистої інформації шляхом атаки людина по середині (men-in-the-middle). За допомогою такої атаки ваш веб-трафік, яким по замовчуванню відправляється до Wi-Fi роутеру буде відправлено спочатку хакеру, а потім від хакеру до роутеру, таким чином, що Wi-Fi роутер не помітить змін. Така атака дозволяє хакеру викрасти ваші особисті дані (логіни, паролі), продивитись ваш веб-трафік (сайти на які ви заходили).

wi-fi3) Слід зазначити, що хакер також перебуваючи у вашій особистій Wi-Fi мережі може здійснювати хакерські атаки (взломи сайтів, DDOS-атаки, додати ваші пристрої до бот-мережі, скачувати дитячу порнографію) тобто будь-які незаконні дії вад вашого ім’я, оскільки Wi-Fi роутер має IP-адресу, яку вам надає ваш провайдер при сплаті Інтернет послуг, тобто всі пристрої підключені до вашого роутеру або точки доступу в мережі Інтернет будуть ідентифікуватись за вашою IP-адресою. Департамент кіберполіції радить: 1) Приховувана назва Wi-Fi мережі: Назва мережі або SSID (Service Set Identifier), яку ми бачимо при пошуці мережі. Знаючи цю назву можна підключитися до тієї чи іншої Wi-Fi мережі. За «дефолтом» роутери і точки доступу показують назву вашої мережі всім бажаючим. Назву можна відключити в розділі “налаштування бездротових мереж” (Wireless Settings) вашого роутеру або точки доступу. В даному розділі є опція “включити SSID” (Enable SSID) або “відключити SSID” (Disable SSID). Включаємо шифрування: Дане налаштування також знаходиться в розділі “налаштування бездротових мереж” (Wireless Settings) і називається “тип шифрування” (Encryption settings). В залежності від типу роутеру або точки доступу наявно приблизно 5 варіантів на вибір. Чим відрізняються типи шифрування? WEP (WIRED EQUIVALENT PRIVACY). Найслабіший тип шифрування. До роутеру або точки доступу з таким типом шифрування зловмисник може отримати доступ за 15 хвилин – 24 години, в залежності від активності мережі. Не рекомендується до використання взагалі. WPS / QSS WPS, він же QSS – дозволяє клієнту підключитися до точки доступу за допомогою 8-символьного коду, що складається з цифр. У грудні 2011 Стефан Фібёк (англ. Stefan Viehböck) і Крейг Хеффнер (англ. Craig Heffner) розповіли про серйозні діри в протоколі WPS. Виявилося, що якщо в точці доступу активований WPS c PIN (який за замовчуванням включений в більшості роутерів), то підібрати PIN-код для підключення можна за лічені години (Wikipedia). Департамент кіберполіції рекомендує відключити дану опцію. WPA і WPA2 (WI-FI PROTECTED ACCESS) На даний час типів шифруванн. WPA / WPA2 підтримують два різних режиму початкової аутентифікації (перевірка пароля доступу клієнта до мережі) – PSK і Enterprise. WPA-PSK та WPA2-PSK- це найпоширеніші варіант шифрування для домашніх Wi-Fi мереж. Підключення до мережі здійснюється за єдиним паролєм, який вводиться на пристрої при підключенні, різниця в типі шифрування, WPA-PSK – тип шифрування TKIP, WPA2-PSK – AES (посилений тип шифрування). WPA Enterprise відрізняється від WPA-PSK тим, що для використання необхідно налаштувати сервер – RADIUS (Remote Authentication Dial In User Service). По суті сервер RADIUS – це служба віддаленої аутентифікації користувачів, яка перевіряє облікові дані користувача для доступу до мережі. 2) Фільтр MAC адрес Ще один спосіб захистити вашу домашню Wi-Fi мережу – це фільтрація пристроїв за MAC-адресою. MAC-адреса – це унікальний номер (типу серійного номера) мережевої Ethernet або Wi-Fi карти. У налаштування роутера або точки доступу необхідно додати MAC-адреси тих пристроїв, які будуть підключатись до вашого роутеру або точки доступу. Користувачі із відмінними MAC-адресами від тих, що зазначені у налаштування не будуть з’єднані з роутером або точкою доступу, навіть при правильному введенні паролю доступу. У найпоширеніших роутерах дана функція називається “фільтрація MAC-адрес” (MAC Filtering). У операційних системах MS-Windows MAC адресу можна подивитись за допомогою комбінації клавіш Windows+r та введені команди cmd, внаслідок чого відкриється командний рядок Windows, в подальшому необхідно ввести ipconfig /all, далі шукаємо рядок бездротівкове мережеве з’єднання (wireless network connection) та копіюємо значення фізична адреса (physical address) – це і є MAC-адреса. У системах типу Unix необхідні ввести команду ifconfig. 3) Відключаємо доступ до адміністрування роутера або точки доступу з глобальної мережі Інтернет Найчастіше Wi-Fi роутери підтримують функцію віддаленого адміністрування, через інтернет. Однак для більшості користувачів немає необхідності у віддаленому налаштуванню Wi-Fi, однак залишивши цю функцію ви створюєте додаткову точку входу, якою може скористатися зловмисник, щоб отримати доступ до вашої Wi-Fi мережі. Департамент кіберполіції радить при настройці вашої особистої Wi-Fi мережі не використовувати настройки по замовчуванню та користуватись цією інструкцією.

www.cybercrime.gov.ua
© Сайт Департаменту Кіберполіції України

Напишіть відгук