Як захистити домашню Wi-Fi мережу від хакерських атак?

Як працює Wi-Fi

Wi-Fi — це технологія, яка дозволяє підключатися до Інтернету та обмінюватися даними без використання дротів, за допомогою радіохвиль. Ось як це працює:

1. У більшості випадків Інтернет надходить у ваш будинок через кабель, підключений до спеціального пристрою — терміналу оптичної мережі (ONT), якщо йдеться про оптоволоконний кабель, або роутера чи ноутбуку/ПК, якщо йдеться про виту пару.
2. Спеціальний пристрій з’єднується з Wi-Fi роутером — пристроєм, який бере сигнал Інтернету від спеціального пристрою і перетворює його на радіосигнал.
3. Wi-Fi роутер передає дані через радіохвилі, які дозволяють передавати інтернет-сигнал на відстань у межах вашого дому або квартири.
4. Ваші пристрої (ноутбуки, планшети, смартфони) мають вбудовані приймачі Wi-Fi, які "ловлять" ці радіохвилі. Коли ви підключаєтеся до Wi-Fi, ваш пристрій "спілкується" з роутером через ці хвилі.
5. Коли ви запитуєте інформацію з Інтернету (наприклад, відкриваєте вебсайт), ваш пристрій надсилає запит через Wi-Fi до маршрутизатора, а той передає запит в Інтернет. Потім відповідь (сайт, відео тощо) йде назад тим самим шляхом.

Найпоширеніші види атак на Wi-Fi та способи захисту від них

Тепер давайте розберемося, як саме зловмисники можуть нашкодити вашій Wi-Fi мережі та як ви можете зберегти її приватною та захищеною.

1. Злом пароля

Це перевірений і ефективний спосіб, який хакери використовують для отримання доступу до Wi-Fi мережі. Ненадійні паролі стають легкою здобиччю для хакерів, які можуть знайти їх у базах зламаних облікових записів, адже багато користувачів використовують свої улюблені паролі повторно або залишають заводські налаштування. Або шахраї можуть перехопити ваші особисті дані, серед яких можуть бути логіни і паролі, шляхом так званої атаки “людина посередині” (man-in-the-middle). В результаті ваш вебтрафік, який стандартно відправляється до Wi-Fi роутера, буде відправлено спочатку хакеру, а вже від нього до роутера таким чином, що пристрій не помітить змін.

Небезпеку злому пароля може спричинити:

• Використання застарілого стандарту шифрування — WEP. Якщо ваш роутер використовує застарілий стандарт шифрування WEP замість удосконаленого WPA2, хакери за допомогою спеціальних інструментів за кілька хвилин можуть зламати навіть складний пароль.
• Атака на WPA2. Протокол безпеки WPA2, хоч і є складнішим, проте його теж можна зламати. Для цього зловмисники використовують техніку примусової деавтентифікації: відключають роутери від мережі на кілька секунд, щоб вони повторно підключилися. В процесі відбувається обмін пакетами (handshake). Отримання такого пакету зловмисником дозволяє йому протестувати мільйони паролів за допомогою спеціального ПЗ і швидко зламати слабкий пароль. 

Рішення:

• Використовуйте стандарт WPA2 або WPA3. Оскільки WEP є менш надійним стандартом, його краще уникати. Щоб отримати доступ до налаштувань вашого маршрутизатора:
1. Перейдіть на сторінку безпеки Wi-Fi та виберіть розділ “Налаштування бездротової мережі”.
2. Виберіть WPA2 або WPA3 як метод захисту і натисніть “Зберегти і застосувати”.
• Створюйте надійні паролі. Надійний пароль має бути довгим і складним, містити великі та малі літери, цифри та спеціальні символи.
• Уникайте особистої інформації в паролях. Уникайте даних, які є очевидними або які легко знайти в соцмережах: дати народження, номери телефонів, імена домашніх улюбленців тощо.
• Регулярно оновлюйте паролі. Це ускладнить життя шахраям, навіть якщо вони отримають доступ до попереднього пароля.
• Увімкніть фільтрацію MAC-адрес. Для захисту від несанкціонованого доступу до мережі маршрутизатор використовує технологію, яка має назву “фільтрація MAC-адрес”. Щоб увімкнути її:
1. Виберіть фільтрацію MAC-адрес у розділі “Параметри безпеки бездротового з’єднання” в налаштуваннях роутера.
2. Зробіть резервну копію ваших змін. 
• Створіть гостьову мережу. Це дозволить ізолювати ваші основні пристрої від тих, хто підключається до мережі тимчасово. На сучасних Wi-Fi роутерах опція “Гостьова мережа” має власний SSID та пароль. Після її активації вам не потрібно буде вказувати свій основний пароль, а гості зможуть використовувати свої пристрої для інтернет-підключення.
  
  

2. Злом через WPS PIN

Атаки на WPS (Wi-Fi Protected Setup — захищені налаштування Wi-Fi) відомі своєю ефективністю. Працюють вони наступним чином:

• Reaver та атака через PIN. Reaver використовує метод перебору PIN-кодів, що дозволяє зламати WPS-вразливі маршрутизатори за лічені хвилини. Навіть найнадійніший Wi-Fi пароль не захистить від атаки WPS PIN.
• Метод WPS Pixie-Dust. Це більш сучасний спосіб атаки на захищені мережі Wi-Fi, які використовують стандарт WPA/WPA2 з алгоритмом WPS. З його допомогою зловмисник може швидко дізнатися PIN-код WPS, отримати пароль від мережі Wi-Fi та зламати її за лічені секунди.

Отриманий шахраєм доступ до WPS-коду дозволяє йому підключатися до вашої мережі незалежно від зміни пароля Wi-Fi. У багатьох роутерах неможливо змінити PIN-код WPS, що залишає мережу вразливою, доки WPS активний.

Рішення:

• Вимкніть WPS і перевірте це тестами.
  
1. Зайдіть у налаштування вашого роутера (через вебінтерфейс, зазвичай за адресою 192.168.1.1 або 192.168.0.1). 
2. Зайдіть до розділу “WPS Setup” або “WPS Access”. 
3. Вимкніть WPS. 
4. Перезавантажте маршрутизатор і перевірте, чи збереглися налаштування. На більшості моделей це можна перевірити за індикатором WPS (у його вимкненому стані світло не горітиме).
   
   

3. Злом через віддалений доступ

З одного боку, налаштування віддаленого доступу забезпечує зручність користувачам. З іншого — є загрозою з боку шахраїв, якщо не вжити належних заходів безпеки, і от чому:

• Індексування в пошукових системах. Сервіси-сканери, на кшталт Shodan, сканують Інтернет на наявність пристроїв із відкритими портами (IP-камери, роутери, розумні датчики тощо). Якщо віддалений доступ до вашого маршрутизатора ввімкнений, пароль може легко потрапити до бази даних Shodan, і хакери почнуть тестувати його на доступність. Також зловмисники можуть використовувати слабкі місця в прошивці роутера, щоб отримати доступ до його налаштувань.
• Небезпека з боку тих, хто має тимчасовий доступ до локальної мережі (LAN) або до Wi-Fi. Такий користувач може увійти до адмін-панелі маршрутизатора, увімкнути віддалене керування, створити власні облікові дані та повертатися до вашої мережі згодом, навіть після зміни пароля Wi-Fi.
  
  

Рішення:

• Вимкніть віддалений доступ.
1. Зайдіть до адмін-панелі роутера (зазвичай 192.168.1.1 або 192.168.0.1).
2. Знайдіть розділ “Remote Management” або “Remote Access”.
3. Вимкніть цю функцію, якщо вона активна.
• Перевірте перенаправлення портів. 
1. У налаштуваннях роутера знайдіть вкладку “Port Forwarding” (зазвичай вона знаходиться в розділі “Advanced”). 
2. На сторінці перенаправлення портів не повинно бути невідомих вам перенаправлень портів, оскільки це можуть бути налаштування на камери відеоспостереження або на сервер. Якщо ви бачите невідомі перенаправлення, видаліть їх. 
3. Перезавантажте роутер.
• Приховайте вашу мережу від сторонніх.
  Знаючи назву мережі або SSID (Service Set Identifier), яку можна побачити при пошуку Wi-Fi, можна підключитися до тієї чи іншої мережі. Стандартно роутери і точки доступу показують назву вашої мережі всім охочим. Але її можна приховати наступним чином: 
1. Відкрийте розділ “Налаштування бездротових мереж” (“Wireless Settings”) вашого роутера.
2. Виберіть у меню “Основні налаштування бездротового зв’язку”.
3. Виберіть опцію “Вимкнути SSID” (“Disable SSID”).
4. Збережіть налаштування.
• Змініть стандартні логін/пароль для роутера.
1. Відкрийте будь-який браузер на гаджеті, який під’єднаний до мережі, та в пошуковому рядку введіть адресу для входу в налаштування роутера. Зазвичай це комбінація цифр: 192.168.0.1 чи 192.168.1.1. Маршрутизатор має бути увімкнено та під’єднано до пристрою.
2. Щоб потрапити до головного меню, введіть логін і пароль. Стандартні дані для входу зазвичай можна знайти на нижній частині роутера (як правило, це admin/admin).
3. Якщо раніше ви змінювали базові логін і пароль та забули їх, можна скинути налаштування за допомогою спеціальної кнопки на корпусі роутера. Після цього знову налаштуйте його за допомогою стандартних даних для входу.
4. Увійдіть до головного меню та знайдіть у налаштуваннях розділ “Мережа Wi-Fi” або “Бездротова мережа” (“Wireless”). Тепер вкажіть у відповідному полі новий пароль для підключення та збережіть зміну.
5. Після цього перепід’єднайте бездротові пристрої до роутера за допомогою нового пароля.
   
   

4. Вразливість у прошивці роутера

Операційна система, на якій працює ваш маршрутизатор, може містити помилки та вразливості (особливо якщо вона застаріла). Через них хакери з будь-якої точки світу можуть проникнути у вашу мережу й викрасти особисту інформацію.

Рішення:

• Регулярно перевіряйте оновлення прошивки роутера. Більшість моделей оновлюються автоматично, але деякі моделі вимагають оновлення прошивки вручну. Для цього:
1. Зробіть резервну копію поточних налаштувань роутера (якщо пристрій дозволяє), щоб відновити їх після оновлення.
2. Визначте модель і версію прошивки свого роутера за допомогою етикетки на самому пристрої або через інтерфейс адміністратора.
3. Перейдіть на сайт виробника вашого роутера та знайдіть там розділ підтримки або завантажень.
4. Вкажіть модель вашого роутера, щоб знайти останнє оновлення прошивки.
5. Завантажте файл з новою версією прошивки на ваш комп'ютер та встановіть з адмін панелі роутера. 
• Використовуйте роутер з фаєрволом (брандмауером) і VPN. Якщо подібні функції є в роутері, їхня активація має усталене налаштування. Під час підключення вашого пристрою до Інтернету брандмауер виконує функцію екрану, блокує всі порти за винятком відкритих вами і таким чином захищає ваш пристрій від хакерів. Активація VPN дозволяє створити зашифрований тунель, який захищає не тільки роутер, але і всі пристрої, підключені до мережі. Також для захисту можна використовувати інше ПЗ, наприклад, антивірусні програми.
  

Отже, підвищити безпеку Wi-Fi нескладно. Достатньо дотримуватись цих нескладних порад — і ваша особиста інформація буде надійно захищена від викрадення.