Защита роутера: угрозы и возможности

Современный человек ежедневно взаимодействует с десятками сетей Wi-Fi: домашней, в ресторанах и метро, в досуговых местах, в офисе, гостинице или любом другом общественном пространстве.

При этом, если речь не идет о небольших организациях, где нет своей службы ИБ, покрытие сети обеспечивается обычными потребительскими роутерами, взломостойкость которых напрямую зависит от того, насколько пользователь хочет заниматься безопасностью этого устройства.

В этой статье будут разобраны способы защиты Wi-Fi, как взламываются роутеры, к каким последствиям это может привести и что может сделать обычный, не ИТ-ориентированный пользователь, для своей безопасности.

Насколько критичен взлом роутера

В современных реалиях, к роутеру подключается целая сеть устройств, от ПК и смартфонов, до холодильника и робота-пылесоса. В корпоративном сегменте добавляется еще и разнообразное офисное оборудование, от принтеров и сканеров, до специализированной техники.

Роман Сычев

Руководитель отдела сетевых технологий Angara Security

Роутер обычно выступает шлюзом, то есть через него проходит весь трафик, который идет за пределы внутренней корпоративной сети. И если злоумышленнику удастся провести DDoS-атаку на роутер, то, как минимум, у пользователей прекратится доступ в Интернет, а если нет отдельного коммутатора, то также перестанет передаваться и трафик внутри сети. Если же это Wi-Fi роутер, то через него проходит еще и весь Wi-Fi трафик, в том числе и от IoT-устройств.

Получив доступ к роутеру, злоумышленник может получить и доступ ко всей локальной сети, в том числе – может перехватывать трафик, который зачастую содержит конфиденциальную, чувствительную информацию. Так, «прослушивая» трафик, легко получить хэши каких-нибудь паролей – например, от учетной записи администратора. Далее, уже в режиме оффлайн, перебором из хэша злоумышленник вычисляет пароль и может проникнуть на ПК жертвы.

К сожалению, пользователи не особенно заботятся о стойкости паролей и зачастую для защиты роутера используют простые, наиболее популярные и словарные пароли, которые очень легко подобрать: например, «123456», «qaz123» или пароль по умолчанию «admin».

Ввиду того, что техники много, то и вариации недопустимых событий, которые могут быть реализованы через взлом роутера, достаточно множественны. От весьма тривиального доступа к ПК с последующей установкой кейлоггера, до использования кофеварки в качестве машины для майнинга. Есть и особенно деструктивные варианты, например – с целью сжечь подключенное к сети оборудование.

Соответственно, если роутер слабо защищен – злоумышленник получает возможность развивать атаку в самых разных направлениях, в зависимости от подключенных к сети устройств. Но даже если пользователь не владеет обширным «парком» IoT-девайсов, злоумышленник всегда может использовать его сеть для анонимизации своих действий в сети, что тоже может привести к последствиям.

Разница между корпоративным и пользовательским сегментами

Теоретически, всем очевидно, что устройство в корпоративном сегменте должно быть априори более защищенным, поскольку и уровень потенциальных потерь в ходе взлома значительно выше.

Но на практике, в огромном количестве компаний просто нет специалиста, который мог бы этим заниматься. Условные ресторан, небольшое производство, склад или адвокатская компания, нередко «живут» с роутером, который имеет базовые настройки и стандартный пароль.

Поэтому, в контексте роутеров и доступа к сети, разница между корпоративным и пользовательским сегментом весьма размыта. Отдельно отметить сети общественного доступа, к которым ежедневно подключаются сотни, а иногда и десятки тысяч самых разных людей, включая и потенциальных злоумышленников.

Как защитить роутер

Сложность взлома роутера напрямую зависит от того, насколько пользователь работает над его безопасностью. Если пароль устройства представляет собой последовательность чисел от 0 до 9, то взлом Wi-Fi будет легкой задачей, не требующей вообще никаких знаний и навыков.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Для защиты роутера необходимо провести ряд мероприятий:

1. Для всех устройств есть список паролей по умолчанию, поэтому зная тип устройства можно попробовать войти на него с паролем от производителя. Тип устройства можно определить при сканировании или просто попробовать подобрать пароль перебором для самых популярных устройств. Отсюда вывод: изменяем пароль для администратора на сложный.

2. Взломать роутер можно при помощи известных для устройства ошибок. Поэтому, не забываем регулярно обновлять прошивку для роутера. В новых прошивках, старые эксплойты успешно закрываются.

3. Если в настройках роутера есть возможность ограничения удаленного управления устройством, то запрещаем подключение к роутеру извне или если по работе вам необходимо на него подключаться – разрешаем подключение только с определенных IP-адресов.

4. Если это возможно, то в настройках роутера меняем имя устройства на произвольное, не связанное с его маркой и моделью. Так, злоумышленнику будет труднее определить тип устройства.

5. Последний совет будет касаться продвинутых пользователей. Изучите правила межсетевого экранирования на вашем роутере и настройте их под себя. Запретите все сетевые соединения, которые не разрешены. Если из пятого правила вам ничего не понятно, то не переживайте, выполнение первых четырех пунктов будет отличным подспорьем в обеспечении сетевой безопасности.

Подобные атаки начинаются с массового сканирования сети в автоматическом режиме. После этого, злоумышленник автоматически сканирует самые интересные точки для взлома. Если выполнить все предыдущие советы, то для рядового сетевого хулигана вы не будете представлять интереса. Если вас будут целенаправленно взламывать, то подобные меры существенно снизят вероятность успешного взлома. Если же у вас есть ценные данные, то тогда надо уже задуматься над полноценным межсетевым экранированием и сегментацией сети.

Хорошим решением для корпоративного сектора может стать сегментирование сетей, то есть разделение на группы. Самый простой вариант – это разделение на сеть для посетителей и сеть для сотрудников.

Также, можно выделить отдельную сеть под IoT-устройства и разграничить ее с сетью для рабочих ПК. Соответственно, для каждой сети нужно будет придумать свой, отличный от других, пароль и соблюдать другие правила безопасности.

Итоги

Роутер – это привлекательная для злоумышленников точка входа в инфраструктуру компании или частную сеть, через которую можно реализовать множество сценариев атак, от шифрования до заражения техники майнером. В актуальных условиях огромное количество хактивистов и кибервандалов сканируют сеть, автоматизировано и в ручном режиме, пренебрегать безопасностью сети довольно опрометчиво.

В то же время, огромное количество средств защиты сети не требуют дополнительных покупок и инвестиций, достаточно найти компетентного специалиста, который будет ответственен за этот процесс, и будет проводить разовую настройку с определенной периодичностью.