Как проверить и защитить роутер от взлома. Инструкция от Амнезика

AmnesicNode

⚡ Contributor
ACTIVE NODE
INITIATED
Безопасность домашних маршрутизаторов, которые покупают пользователи, почти не существует. Производители выпускают большое количество устройств и не обновляют их программное обеспечение, оставляя их открытыми для атак. Покупка роутера очень похожа на покупку Android-смартфона. Устройств много, а обновлений мало. В этой статье я расскажу, как проверить, не скомпрометирован ли ваш роутер, и как защитить его от атак.

Как злоумышленники взламывают роутеры

Самый распространённый способ атаки это изменение DNS-серверов на маршрутизаторе. Злоумышленники добавляют вредоносные DNS-серверы, и когда вы пытаетесь зайти на сайт банка, вас перенаправляют на фишинговую страницу. При этом адрес в строке браузера может выглядеть как настоящий, но сайт будет поддельным. Вредоносный DNS-сервер не обязательно перехватывает все запросы. Он может работать выборочно, чтобы не вызывать подозрений. Медленные DNS-запросы часто являются признаком того, что роутер скомпрометирован.

Ещё один метод атаки это использование уязвимостей CSRF. Злоумышленник добавляет вредоносный JavaScript на веб-страницу, и этот скрипт пытается загрузить страницу администратора роутера, чтобы изменить настройки. Поскольку скрипт запускается с устройства в вашей локальной сети, он может получить доступ к интерфейсу управления, который обычно доступен только внутри сети. Некоторые маршрутизаторы имеют включённый удалённый доступ с паролями по умолчанию. Существуют боты, которые автоматически сканируют такие устройства.

Как проверить, не взломан ли ваш роутер

Единственный явный признак компрометации это изменение DNS-сервера. Чтобы проверить это, откройте веб-интерфейс роутера. Обычно он доступен по локальному IP-адресу, например 192.168.1.1. Найдите в интернете или в инструкции адрес входа для вашей модели. Войдите в систему, используя имя пользователя и пароль. Если вы их не меняли, они часто напечатаны на наклейке на нижней части устройства.

Найдите настройки DNS. Они обычно расположены в разделе WAN или настроек интернет-подключения. Если там стоит «Автоматически», значит роутер получает DNS от провайдера. Если стоит «Вручную» и там есть незнакомые адреса, это повод для беспокойства. Нет проблем, если вы сами настроили роутер на использование публичных DNS-серверов, таких как 8.8.8.8 от Google или 1.1.1.1 от Cloudflare. Но если вы видите незнакомые IP-адреса, скорее всего, настройки были изменены вредоносным ПО. В этом случае поищите эти IP-адреса в интернете, чтобы проверить их репутацию.

Что делать, если обнаружен вредоносный DNS-сервер

Если вы нашли подозрительный DNS-сервер, немедленно отключите его. Установите автоматическое получение DNS от провайдера или используйте проверенные публичные DNS, например Google или Cloudflare. Лучше всего сбросить настройки роутера до заводских и настроить его заново.

Как защитить роутер от атак

Обновляйте прошивку. Убедитесь, что установлена последняя версия. Включите автоматическое обновление, если такая функция есть. К сожалению, большинство производителей не предоставляют регулярных обновлений. Отключите удалённый доступ к страницам администратора. Смените пароль на сложный, чтобы злоумышленники не могли войти по умолчанию. Отключите UPnP. Эта функция была и остаётся уязвимой. Даже если UPnP безопасен на вашем роутере, вредоносное ПО в локальной сети может использовать его для изменения настроек, потому что UPnP доверяет всем запросам изнутри. Учитывайте, что DNSSEC пока не является панацеей. Вредоносный DNS-сервер может утверждать, что записи не имеют информации DNSSEC, и подменять IP-адреса.

Тема безопасности роутеров очень обширна. В будущем я планирую дополнить эту статью более детальными инструкциями. Если у вас есть вопросы, задавайте их в комментариях. Благодарю за внимание.
 
Верх