ComputersHowto
Zabezpečení bezdrátového routeru je od prvních dnů WiFi neustálým bojem.
Existuje řada typů šifrování a aktualizací protokolů, u nichž se neustále ukázalo, že mají nedostatky, které lze zneužít.
S tím se routery staly mnohem bezpečnějšími a se správným nastavením mohou být velmi bezpečná zařízení.
Nejlepší nastavení zabezpečení pro směrovač
Ne všechny tyto možnosti budou možné pro každého. Toto je jednoduše seznam nejlepších možných nastavení pro zabezpečení routeru.
- Vypněte WPS (WiFi Protected Setup)
- Pokud je to možné, deaktivujte frekvenci 2,4 GHz
- K routeru se připojujte pouze se zařízením (smartphone, tablet, notebook), které je zařízením 802.11ac.
- Povolte šifrování WPA2 / WPA3 a vložte dlouhé heslo.
- Pokud je to možné, zeslabte signál WiFi.
- Nikdy nezadávejte hesla ani uživatelská jména do vyskakovacího okna. Vždy přejděte přímo na stránku správce routeru a zadejte uživatelská jména a hesla.
- Změňte výchozí uživatelské jméno / heslo pro přihlášení k routeru na stránce.
- Aktualizujte firmware routeru
- Změňte název vysílání SSID.
Šifrování WEP, WPA, WPA 2, WPA 3
Každý router by měl mít základní nastavení šifrování. Jak každý ví, otevřený signál WiFi vyžaduje problémy.
WEP je notoricky snadné hacknout a od roku 2003, kdy v něm byla nalezena bezpečnostní chyba, se příliš nepoužívá.
Standardy šifrování směrovače
| Šifrování | Rok | Bezpečnostní |
| WEP | 1999 | Špatný |
| WPA | 2003 | Chudý |
| WPA 2 TKIP | 2004 | Chudý |
| WPA 2 AES | 2004 | Střední |
| WPA 3 | 2019 | Dobrý |
Původní WPA má také bezpočet bezpečnostních nedostatků a již není příliš bezpečné.
WPA2 AES nebo nový WPA3 by měl být povolen pro WiFi as dlouhým heslem / parafrází.
Existují hacky pro WPA2 AES, ale hackování je mnohem obtížnější než starší šifrovací standardy.
WPA3 je nový standard, který byl vydán a přidává mnoho bezpečnostních funkcí, které starším protokolům chybí.
Směrovače s novým WiFi 6 AX spolu s WPA3 se pomalu zavádějí.
WPS
WPS (WiFi Protected Setup) je metoda, kterou mnoho směrovačů používá pro zařízení pro snadné připojení k routeru pomocí bezdrátového připojení.
V roce 2012 byla nalezena chyba ve WPS, která umožňuje útok na piny, což obchází jakékoli zabezpečení, jako je WPA / WPA2.
Mnoho nových směrovačů našlo způsob, jak to obejít tím, že má stisknuté tlačítko WPS a povoluje WPS pouze na krátkou dobu, než jej deaktivuje.
Ne všechny směrovače to však dělají a některé mají ve výchozím nastavení povoleno WPS.
Populární programy, jako je Reaver zabudovaný do systému Kali Linux, dokáží rozbít piny WPS za 2–10 hodin, přičemž útok Pixiewps to na některých směrovačích zvládne mnohem rychleji.
Pokud má váš router povoleno WPS, deaktivovat jinak je otevřený výše uvedenému populárnímu útoku.
Frekvence 5 GHz / 2,4 GHz a protokol 802.11ac
Až do roku 2013, 2,4 GHz byl jediný frekvenční směrovač používaný pro WiFi.
Vzhledem k tomu, že 2,4 GHz je přeplněné, byl zaveden rozsah 5 GHz.
Tyto typy směrovačů se nazývají dvoupásmové směrovače, protože pro signál WiFi mohou používat 2,4 GHz nebo 5 GHz.
Pro ty, kteří nevědí, nelze k útoku na router použít žádnou bezdrátovou kartu.
Musí být použity konkrétní USB klíče / adaptéry se správnou čipovou sadou.
Existuje spousta USB adaptérů, které mohou hacknout router na straně 2,4 GHz.
V současné době existuje nedostatek USB adaptérů, které mohou hacknout frekvenci 5 GHz routeru.
Existuje několik USB adaptérů, které mohou, ale s omezeným úspěchem.
Důvodem omezené úspěšnosti je protokol 802.11ac.
Hackovací nástroje WiFi zatím nebyly aktualizovány, aby zaútočily na tento nový protokol.
V rozsahu 5 GHz fungují pouze protokoly 802.11n a 802.11ac. 802.11n už nějakou dobu funguje a pracuje v pásmech 2,4 GHz i 5 GHz.
802.11ac funguje pouze v rozsahu 5 GHz.
802.11n se používá pro starší zařízení, která se potřebují připojit k routeru, ale je to známý protokol, který lze hacknout pomocí mnoha nástrojů prolomení WiFi.
V současné době je směrovač nastavený tak, aby vysílal pouze WiFi v rozsahu 5 GHz s protokolem 802.11ac, se současnými hackerskými nástroji WiFi téměř nelze hacknout.
Každé zařízení připojené k routeru musí také být schopné používat protokol 802.11ac, protože jakékoli nastavení je jen tak dobré jako jeho nejslabší spojení.
Mějte na paměti, že se to může kdykoli změnit, protože hackerský software a hardware jsou v neustálém stavu vývoje.
V současné době je router s vypnutou stranou 2,4 GHz, spolu s vypnutou podporou WPS, používající šifrování WPA2 a pouze s použitím frekvence 5 GHz s protokolem 802.11ac je téměř nemožné hacknout.
Nic nikdy není zcela neprasknutelné, ale k prolomení takového nastavení by bylo zapotřebí velmi pokročilého škodlivého útočníka.
Hacker nováčků ze skriptů by nebyl schopen sledovat množství WiFi hackování videí z YouTube a být schopen v současné době prolomit takovéto nastavení.
Man-In-The-Middle-Attack
Man-In-The-Middle útoky zvané MitM jsou, když se hacker umístí mezi router a zařízení, které je k němu připojeno.
Škodlivý hacker, který provádí útok MitM, může nakopnout signál routeru a přinutit tak osobu, aby se připojila ke svému počítači, což oběti umožňuje zpět online.
Většina uživatelů o tom neví a pokračuje v surfování online. Útočník může zobrazit všechna data, která procházejí jejich strojem, a zaznamenávat hesla nebo jakákoli jiná data, na která se dívá.
Útoky routeru MitM přicházejí v mnoha formách, populární jsou vyskakovací okno, které uživateli zobrazuje falešnou stránku pro přihlášení routeru, která vypadá legitimně.
Pokud uživatel zadá své uživatelské jméno a heslo na falešnou stránku útoku MitM, může pokračovat v domnění, že problém vyřešil.
Mezitím útočník se zlými úmysly získal jejich informace.
Chcete-li čelit tomuto druhu útoku, nezadávejte jednoduše slepě informace o uživatelském jménu a hesle.
Zjistěte, kde jsou informace o nastavení přihlášení na notebooku, tabletu nebo smartphonu, a zadejte informace pouze tam.
Směrovač by nikdy neměl zobrazovat vyskakovací okno s dotazem na informace. Pokud se to ručně přihlásí k routeru s kabelovým připojením a zkontrolujte nastavení.
Změňte přihlašovací údaje pro výchozí stránku správce routerů
Všechny směrovače mají výchozí uživatelské jméno a heslo pro přihlášení na stránku správce.
Často něco tak jednoduchého jako uživatelské jméno: admin, Heslo: admin
To by mělo být změněno na něco bezpečného, protože je to snadný způsob, jak k němu může získat přístup někdo, kdo je ve stejné síti a zadává do vašich směrovačů IP adresu..
Změňte výchozí název vysílání SSID
Všechny směrovače mají výchozí název vysílání, například směrovače Linksys nebo Dlink, které budou vysílat název Linksys nebo Dlink jako název připojení WiFi AP.
Změna názvu vysílání poskytne útočníkovi méně informací o zranitelnostech routeru.
Směrovač Linksys má jiné chyby zabezpečení než směrovač Dlink atd.
Jednou z věcí, které dělám, je místo toho, abych routeru dal jedinečný název domácího mazlíčka, je jeho změna na jiný název výrobce routeru.
Například pokud se jedná o router Linksys, změňte SSID na Dlink a naopak.
To může útočníka zmást, protože věří, že útočí na určitý router se známými zranitelnostmi, když jde o něco úplně jiného.
Vzdálenost dosahu WiFi
U WiFi může být důležitá vzdálenost, ale router může zůstat otevřený k útoku.
Všechny útoky bezdrátových směrovačů potřebují pro svou práci dobrý signál WiFi, pokud nemohou získat dobrý signál, než by to nebylo možné.
Útočníci používají zesilovače signálu, aby pomohli zesílit slabý signál, takže se s tím často nedá moc dělat.
Pokud však nepotřebujete silné oslabení bezdrátového signálu, může to zabránit útoku.
Mnoho směrovačů má nastavení pro úpravu síly signálu WiFi, kterou lze upravit dolů nebo nahoru.
Rozdíly ve směrovači
Pokud jde o výrobce routerů, všichni mají různá rozhraní a možnosti.
Je nemožné uvést v jednom příspěvku, kde je umístění těchto nastavení pro mnoho směrovačů, které se prodávají.
Většina možností bude univerzální, například šifrování WEP, WPA, WPA2, ale způsob aktivace možností se bude u jednotlivých směrovačů lišit.
Možnosti rozhraní směrovače lze vždy vyhledat pomocí Googlu nebo vyhledat příručku a vyhledat její nastavení.
Hlavní věcí, kterou je třeba o zabezpečení routeru pochopit, jsou univerzální možnosti zabezpečení, které bude mít každý router.
souhrn
Jakýkoli router bude vždy přijatelný pro útoky, ale provádění jednoduchých věcí, jako je výše, výrazně sníží vaše riziko.
Útočníci WiFi se často přesunou k jednoduššímu cíli (protože jich je mnoho), místo aby plýtvali hodinami, ne-li dny, když se snaží zaměřit na obtížné nastavení.
