Ostatnio kilku znajomych prosiło mnie o sprawdzenie poziomu zabezpieczeń ich routerów. Główną przyczyną była bardzo powolna praca Internetu. Po przejrzeniu konfiguracji urządzenia, bardzo często okazywało się, że do routera przyłączone były komputery z zewnątrz, które zabierały całą przepustowość prawowitym użytkownikom.

Konfiguracja routera zakupionego w sklepie, zazwyczaj ogranicza się do podłączenia odpowiednich kabli w odpowiednich miejscach, a to zbyt mało. Wystarczy jednak użyć kilku sztuczek, abyśmy mogli powiedzieć, że nasza sieć domowa jest naprawdę bezpieczna.

Czynnością od której należy zacząć proces zabezpieczania jest zmiana hasła administratora. Jeżeli aktualnie mamy skonfigurowane łatwe hasło lub domyślne dla danego urządzenia (często jest to hasło typu „password”, „admin”, „1234”), prosimy się o potencjalne kłopoty. Jeżeli obca osoba dostanie się na router wykorzystując powszechnie znane hasło, może zrobić z naszą siecią wszystko. Zmiana hasła powinna zostać wykonana niezwłocznie po podłączeniu routera do sieci.

Domowe routery zazwyczaj są wyposażone w przełączniki (switch), które pozwalają podłączyć zazwyczaj kilka komputerów do sieci przy pomocy kabla. W tym przypadku wymagany jest dostęp fizyczny do komputera, więc tej drogi dostępu w warunkach domowych nie musimy zabezpieczać. Znacznie ważniejszym elementem jest sieć bezprzewodowa. Fabryczne ustawienia sieci bezprzewodowej przeważnie nie zawierają żadnych zabezpieczeń, więc do tak zrealizowanej sieci mogą podłączyć się wszyscy. W kilku krokach możemy uczynić sieć bezprzewodową bezpieczną. Po pierwsze – zmieniamy nazwę sieci określaną identyfikatorem SSID. Pozostawienie domyślnej wartości pozwala najczęściej odkryć atakującemu, z jakim typem urządzenia ma do czynienia. W dodatku jeżeli wiele routerów w okolicy ma SSID ustawiony przykładowo na „default” lub „linksys”, nigdy nie mamy pewności czy podłączamy się do właściwego routera. Dobrym pomysłem – aczkolwiek nie niezbędnym – jest wyłączenie rozgłaszania nazwy SSID. Co to oznacza? Gdy będziemy na naszym urządzeniu bezprzewodowym wyszukiwali sieci, nasza sieć domowa nie przedstawi się. Jeżeli jednak skonfigurujemy na naszym komputerze to połączenie manualnie, sieć będzie działała. W ten sposób potencjalnie zainteresowani nielegalnym wykorzystaniem naszego Internetu nie będą wiedzieli, że mamy sieć bezprzewodową w domu. Podstawowym elementem bezpieczeństwa sieci bezprzewodowej jest jednak mechanizm szyfrowania. Wykorzystanie mechanizmu WEP wiąże się ze znaczącym zagrożeniem, ponieważ protokół ten jest bardzo łatwy do złamania. Najlepszą opcją będzie wykorzystanie szyfrowania WPA/WPA2. Na czym polega to zabezpieczenie od strony użytkownika? Na routerze ustawiamy odpowiednie hasło zabezpieczające. W momencie gdy urządzenie bezprzewodowe będzie łączyło się z naszą siecią, konieczne będzie podanie tego hasła, co umożliwi przeprowadzenie bezpiecznej komunikacji. Sensownym rozwiązaniem jest również ograniczenie mocy sieci bezprzewodowej do poziomu, w którym możemy pracować z rozsądnymi prędkościami w domu, ale na zewnątrz budynku sygnał będzie zanikał.

Routery domyślnie mają włączony protokół DHCP. Co oznacza ten skrót? W momencie gdy uzyskamy połączenia do sieci przewodem lub bezprzewodowo, następuje automatyczna konfiguracja parametrów sieciowych. Te zadania realizuje właśnie protokół DHCP. Najlepszym, ale niezbyt wygodnym rozwiązaniem jest całkowite wyłączenie tego protokołu i skonfigurowanie dla każdego urządzenie domowego adresacji IP manualnie. Możemy jednak znaleźć kompromis i przydzielać adresy IP przez DHCP wyłącznie dla konkretnych adresów MAC znanych nam komputerów i urządzeń sieciowych.

Warto pomyśleć o zabezpieczeniu dostępu do naszego routera nie tylko od strony sieci LAN oraz bezprzewodowej, ale także sieci WAN. Jeżeli router posiada możliwość wyłączenia odpowiedzi na pakiety ICMP (ping) na porcie WAN, warto ją aktywować. Jeżeli świadomie nie wykorzystujemy funkcjonalności strefy zdemilitaryzowanej DMZ, także należy ją zdeaktywować.

Każdy router posiada możliwość zarządzania nim z dowolnego miejsca w Internecie. Dobrym pomysłem będzie zmiana portu przeznaczonego do zarzadzania routerem – domyślnie jest to port 80. Możemy zmienić ten port na przykładowo 6666 lub 8888. Z zewnątrz w takim przypadku będziemy zarządzali routerem poprzez wpisanie w przeglądarkę http://adres_ip_wan_routera:6666. Warto też ograniczyć zakres adresów IP, z których możliwe będzie zarządzanie urządzeniem. Kilka przedstawionych porad pozwoli zabezpieczyć router przed nieupoważnionym dostępem oraz nielegalnym wykorzystaniem naszego łącza. Dlaczego warto o to zadbać? Prosty przykład – jeżeli ktoś uzyska połączenie przez naszą sieć bezprzewodową i dokona przestępstwa w Internecie, ślady wskażą na adres IP naszego routera i to my będziemy podejrzani o popełnienie przestępstwa.

Pozdrawiam,

Kamil Folga

…sieci komputerowe dla każdego…