В этой статье Хакерман расскажет о проверке на наличие уязвимостей и обеспечении безопасности вашего маршрутизатора.
Без лишних прилюдий (сорян за мой русский - не так уж и легко писать такие вещи и ещё проверять за собой наличие ошибок) приступаем:
Безопасность маршрутизаторов, которые покупают пользователи, почти не существует. Злоумышленники используют низкокачественные маршрутизаторы и атакуют уязвимые устройства.
Посмотрите, как вы можете проверить, был ли ваш маршрутизатор скомпрометирован.
Покупка домашнего маршрутизатора очень похожа на покупку Android-смартфона. Производители выпускают большое количество различных устройств и не обновляют свое программное обеспечение, оставляя их открытыми для атак.
Как ваш маршрутизатор может быть скомпрометирован
Злоумышленники часто пытаются изменить конфигурацию DNS-серверов на маршрутизаторе, добавляя вредоносные DNS-серверы.
Поэтому, когда вы пытаетесь подключиться к сайту - например, к вашему банку, - вредоносный DNS-сервер переносит вас на фишинговый сайт. Адрес может сказать nbg.gr-но вы окажетесь на фишинговом сайте.
Вредоносный DNS-сервер не обязательно отвечает на все запросы. Он может не отвечать на большинство запросов или перенаправлять их на DNS-сервер вашего провайдера по умолчанию. Медленные запросы DNS являются признаком того, что вы, возможно, были взломаны.
Вы можете заметить, что фишинговый сайт не имеет шифрования HTTPS, но есть много тех, кто этого не заметит. SSL-атаки также могут удалить шифрование при передаче данных.
Они могут "ловить" запросы на Google Analytics или другие скрипты практически с любого веб-сайта и перенаправлять их на сервер через другой скрипт, который обслуживает рекламу или что-то еще. Если вы видите порнографическую рекламу на странице, которая вам не так знакома, как iguru, то почти наверняка что-то находится на вашем маршрутизаторе или на самом вашем компьютере.
Многие атаки используют атаки подделки запросов (CSRF). Злоумышленник добавляет вредоносный JavaScript на веб-страницу, а JavaScript пытается загрузить страницу администратора маршрутизатора и изменить настройки. Поскольку JavaScript запускается с устройства в вашей локальной сети, код может получить доступ к пользовательскому интерфейсу настроек вашего маршрутизатора, который доступен только в вашей сети.
На некоторых маршрутизаторах может быть включен пользовательский интерфейс удаленного управления вместе с именами пользователей и паролями по умолчанию. Существуют боты, которые автоматически сканируют эти маршрутизаторы.
Как это проверить
Единственным признаком того, что маршрутизатор был скомпрометирован, является изменение его DNS-сервера. Откройте веб-интерфейс маршрутизатора, чтобы проверить конфигурацию DNS-сервера.
Эта страница существует под локальным IP-адресом, и чтобы найти ее, вам нужно поискать в Интернете или в руководстве пользователя. Введите имя производителя и модель маршрутизатора, который вы используете в Интернете, и найдите URL-адрес входа.
Войдите в систему с именем пользователя и паролем маршрутизатора (обычно на наклейке в нижней части маршрутизатора. Найдите параметр “DNS”. Вы обычно найдете его на экране настроек WAN или подключения к Интернету. Automatic ", ok - он получает IP-адрес от вашего провайдера. Если он установлен в" Ручной "и есть пользовательские DNS-серверы, это может быть проблемой, если вы не установили их.
Нет проблем, если вы настроили маршрутизатор на использование альтернативных DNS - серверов-например, 8.8.8.8 и 8.8.4.4 для Google DNS, 208.67.222.222 и 208.67.220.220 для OpenDNS и 1.1.1.1 для Cloudflare.
Однако если есть DNS-серверы, которые вы не распознаете, это означает, что какая-то вредоносная программа изменила настройки маршрутизатора, чтобы использовать свои собственные DNS-серверы. Если вы сомневаетесь, поищите в Интернете эти IP-адреса и посмотрите, безопасны они или нет. Что-то вроде "0.0.0.0" - это хорошо и часто означает, что поле пустое и маршрутизатор автоматически получает DNS-сервер.
Помогите, там находится вредоносный DNS-сервер!
Если вы обнаружите вредоносный DNS-сервер, вы можете отключить его и сказать своему маршрутизатору использовать DNS-сервер от вашего провайдера или обойти указанные выше законные адреса DNS-серверов.
Возможно, вы захотите удалить все настройки маршрутизатора и сбросить их до заводских значений по умолчанию. Затем используйте приведенные ниже настройки, чтобы защитить ваш маршрутизатор от надвигающихся атак.
Настройки вашего маршрутизатора
Вы определенно можете настроить свой маршрутизатор против этих атак, но если маршрутизатор имеет уязвимости безопасности, которые не были исправлены производителем, вы ничего не можете с этим поделать.
Установка обновлений встроенного по (firmware):
Убедитесь, что установлена последняя версия встроенного по для вашего маршрутизатора. Включите автоматическое обновление программного обеспечения, если эта настройка установлена на вашем маршрутизаторе. К сожалению, большинство этого не делает.
Отключить удаленный доступ: Отключить удаленный доступ к страницам администратора.
Изменение пароля: Измените пароль так, чтобы злоумышленники не могли войти с помощью пароля по умолчанию.
Отключить UPnP: UPnP был и остается особенно уязвимым. Даже если UPnP не уязвим на вашем маршрутизаторе, вредоносное ПО, работающее где-то в вашей локальной сети, может использовать UPnP для изменения DNS-сервера. Так работает UPnP - он доверяет всем запросам, поступающим из вашей локальной сети.
DNSSEC должен обеспечивать дополнительную безопасность, но она пока недоступна. В реальном мире каждый клиент доверяет настроенному DNS-серверу. Вредоносный DNS-сервер может утверждать, что DNS-запись не имеет информации DNSSEC и что передаваемый IP-адрес является реальным.
Тема не закрыта, и будет дополнена в последствии более детальным обьяснением (с возможно пошаговыми действиями, если будет такой интерес к ней). Благодарю за внимание!
