Jak zabezpieczyć domowy router?

Ostatnio kilku znajomych prosiło mnie o sprawdzenie poziomu zabezpieczeń ich routerów. Główną przyczyną była bardzo powolna praca Internetu. Po przejrzeniu konfiguracji urządzenia, bardzo często okazywało się, że do routera przyłączone były komputery z zewnątrz, które zabierały całą przepustowość prawowitym użytkownikom.

Konfiguracja routera zakupionego w sklepie, zazwyczaj ogranicza się do podłączenia odpowiednich kabli w odpowiednich miejscach, a to zbyt mało. Wystarczy jednak użyć kilku sztuczek, abyśmy mogli powiedzieć, że nasza sieć domowa jest naprawdę bezpieczna.

Czynnością od której należy zacząć proces zabezpieczania jest zmiana hasła administratora. Jeżeli aktualnie mamy skonfigurowane łatwe hasło lub domyślne dla danego urządzenia (często jest to hasło typu „password”, „admin”, „1234”), prosimy się o potencjalne kłopoty. Jeżeli obca osoba dostanie się na router wykorzystując powszechnie znane hasło, może zrobić z naszą siecią wszystko. Zmiana hasła powinna zostać wykonana niezwłocznie po podłączeniu routera do sieci.

Domowe routery zazwyczaj są wyposażone w przełączniki (switch), które pozwalają podłączyć zazwyczaj kilka komputerów do sieci przy pomocy kabla. W tym przypadku wymagany jest dostęp fizyczny do komputera, więc tej drogi dostępu w warunkach domowych nie musimy zabezpieczać. Znacznie ważniejszym elementem jest sieć bezprzewodowa. Fabryczne ustawienia sieci bezprzewodowej przeważnie nie zawierają żadnych zabezpieczeń, więc do tak zrealizowanej sieci mogą podłączyć się wszyscy. W kilku krokach możemy uczynić sieć bezprzewodową bezpieczną. Po pierwsze – zmieniamy nazwę sieci określaną identyfikatorem SSID. Pozostawienie domyślnej wartości pozwala najczęściej odkryć atakującemu, z jakim typem urządzenia ma do czynienia. W dodatku jeżeli wiele routerów w okolicy ma SSID ustawiony przykładowo na „default” lub „linksys”, nigdy nie mamy pewności czy podłączamy się do właściwego routera. Dobrym pomysłem – aczkolwiek nie niezbędnym – jest wyłączenie rozgłaszania nazwy SSID. Co to oznacza? Gdy będziemy na naszym urządzeniu bezprzewodowym wyszukiwali sieci, nasza sieć domowa nie przedstawi się. Jeżeli jednak skonfigurujemy na naszym komputerze to połączenie manualnie, sieć będzie działała. W ten sposób potencjalnie zainteresowani nielegalnym wykorzystaniem naszego Internetu nie będą wiedzieli, że mamy sieć bezprzewodową w domu. Podstawowym elementem bezpieczeństwa sieci bezprzewodowej jest jednak mechanizm szyfrowania. Wykorzystanie mechanizmu WEP wiąże się ze znaczącym zagrożeniem, ponieważ protokół ten jest bardzo łatwy do złamania. Najlepszą opcją będzie wykorzystanie szyfrowania WPA/WPA2. Na czym polega to zabezpieczenie od strony użytkownika? Na routerze ustawiamy odpowiednie hasło zabezpieczające. W momencie gdy urządzenie bezprzewodowe będzie łączyło się z naszą siecią, konieczne będzie podanie tego hasła, co umożliwi przeprowadzenie bezpiecznej komunikacji. Sensownym rozwiązaniem jest również ograniczenie mocy sieci bezprzewodowej do poziomu, w którym możemy pracować z rozsądnymi prędkościami w domu, ale na zewnątrz budynku sygnał będzie zanikał.

Routery domyślnie mają włączony protokół DHCP. Co oznacza ten skrót? W momencie gdy uzyskamy połączenia do sieci przewodem lub bezprzewodowo, następuje automatyczna konfiguracja parametrów sieciowych. Te zadania realizuje właśnie protokół DHCP. Najlepszym, ale niezbyt wygodnym rozwiązaniem jest całkowite wyłączenie tego protokołu i skonfigurowanie dla każdego urządzenie domowego adresacji IP manualnie. Możemy jednak znaleźć kompromis i przydzielać adresy IP przez DHCP wyłącznie dla konkretnych adresów MAC znanych nam komputerów i urządzeń sieciowych.

Warto pomyśleć o zabezpieczeniu dostępu do naszego routera nie tylko od strony sieci LAN oraz bezprzewodowej, ale także sieci WAN. Jeżeli router posiada możliwość wyłączenia odpowiedzi na pakiety ICMP (ping) na porcie WAN, warto ją aktywować. Jeżeli świadomie nie wykorzystujemy funkcjonalności strefy zdemilitaryzowanej DMZ, także należy ją zdeaktywować.

Każdy router posiada możliwość zarządzania nim z dowolnego miejsca w Internecie. Dobrym pomysłem będzie zmiana portu przeznaczonego do zarzadzania routerem – domyślnie jest to port 80. Możemy zmienić ten port na przykładowo 6666 lub 8888. Z zewnątrz w takim przypadku będziemy zarządzali routerem poprzez wpisanie w przeglądarkę http://adres_ip_wan_routera:6666. Warto też ograniczyć zakres adresów IP, z których możliwe będzie zarządzanie urządzeniem. Kilka przedstawionych porad pozwoli zabezpieczyć router przed nieupoważnionym dostępem oraz nielegalnym wykorzystaniem naszego łącza. Dlaczego warto o to zadbać? Prosty przykład – jeżeli ktoś uzyska połączenie przez naszą sieć bezprzewodową i dokona przestępstwa w Internecie, ślady wskażą na adres IP naszego routera i to my będziemy podejrzani o popełnienie przestępstwa.

Pozdrawiam,

Kamil Folga

…sieci komputerowe dla każdego…

5 thoughts on “Jak zabezpieczyć domowy router?

  • No bardzo fajny i ciekawy wpis ja właśnie zamierzam kupić sobie jakiś router bo tak się składa że mam smartfona i raczej korzystanie z router to najlepsze obecnie rozwiązanie biorąc pod uwagę to że pakiety internetowe są bardzo małe . Choć zastanawiam się czy jak kupie router to czy jest jakaś blokada aby sygnał trochę osłabić bo z zabezpieczeniami jest różnie chodzi mi aby np. sąsiad nie miał dostępu do mojego sygnału .

    • Dzięki za komentarz – a już myślałem, że nikt tego nie czyta :)

      Generalnie fizycznie trudno ograniczyć sygnał sieci bezprzewodowej. Można oczywiście użyć anteny o mniejszym zysku lub całkowice odkręcić antenę (jeżeli jest taka możliwość w urządzeniu). Część urządzeń posiada możliwość ograniczenia mocy wypromieniowywanej z poziomu konfiguracji – często jest to opcja ukryta, wywoływana specjalnie spreparowanym zapytaniem do routera poprzez przeglądarkę (HTTP). Każdorazowe zmniejszenie mocy urządzenia może wiązać się nie tylko z ograniczeniem zasięgu dla sąsiadujących mieszkań/domów, ale także dla własnych potrzeb. Może okazać się, że w skrajnych pomieszczeniach w stosunku do routera, sygnał będzie bardzo słaby.

      W zastosowaniach domowych ukrycie SSID (nazwy sieci) oraz włączenie zabezpieczenia WPA2 naprawdę będzie skutecznym zabezpieczeniem przez zakusami sąsiadów na nasze łącza :)

      Pozdrawiam,

      Kamil

  • Kolego, Twój blog jest rewelacyjny, szkoda że taki krótki:)
    Twoje porównanie pakietu do samochodu poruszającego się na skrzyżowaniu to pierwsza klasa, jakiś czas temu pracowałem jako nauczyciel i własnie takie metody były najlepsze.

    Dzięki za dobrą robotę!:)

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.