Перед тем, как кто-нибудь будет шпионить за вами или беззвучно использовать ваше интернет-предложение, вы хотели бы знать, как защитить WiFi сеть. Когда технический специалист пришел установить ваш модем для ADSL или оптоволокна (FTTN, FTTB, FTTC, FTTS, FTTP или FTTH), вы были очень довольны. Он сказал: «Оставь все как есть и не волнуйся». WiFi пароль застрял под вашим модемом и даже активировал знаменитый WPS, эту специальную кнопку, которая «переопределяет» ввод ключа безопасности. Нет ничего более удобного, не так ли? Так он говорит, но ты знаешь, что «доверие — это хорошо, а не доверие — это лучше».
Как только он ушел, вы воспользовались возможностью проверить онлайн. После некоторых исследований вы обнаружили, что хакеры и взломщики могут легко взломать сети WiFi. Вы также читаете, что существуют калькуляторы паролей по умолчанию для наиболее популярных модемов, таких как TIM (ранее Telecom Italia), Fastweb, Tiscali, Vodafone и других.
В панике вы сразу же попытались защитить WiFi сеть и, к счастью, оказались здесь. В следующее руководство я включил все процедуры, позволяющие сделать доступ к сети WiFi непроницаемым. Я заявляю, что нет необходимости в специальном модемном маршрутизаторе, его может изготовить любая компания, будь то TIM, Fastweb, Vodafone, Technicolor, TP-Link, Netgear, Draytek, MikroTik, Cisco, Linksys, ASUS, D-Link, Tomson, Ubiquity Networks, Zyxel, HP, US Robotics, IBM или другая. Важно то, что его прошивка обладает теми функциями, которые я собираюсь вам раскрыть. Многие модемные маршрутизаторы, предоставляемые провайдерами, к сожалению, имеют ограниченное микропрограммное обеспечение и не позволяют выполнить все перечисленные процедуры.
Я предлагаю вам попробовать настроить ваш текущий маршрутизатор. Затем, если вы видите, что у него не так много этих функций или он становится нестабильным, измените его. Придется просто начать.
Как защитить WiFi сеть
Когда вы задаетесь вопросом, как защитить WiFi сеть, первое, что вам нужно сделать, это не торопиться. Конфигурации, которые вы собираетесь изменить, имеют разную сложность. Но, без сомнения, вам понадобится время, чтобы применить их все. Если у вас есть опыт работы в сфере IT и сетевых технологий, вы получите выгоду, но даже для вас это будет не так быстро. Поэтому, во избежание ошибок, которые могут привести к неиспользованию маршрутизатора, я рекомендую выполнять эти процедуры без спешки.
Тем не менее, ниже вы найдете все процедуры, которые позволят вам защитить WiFi сеть. Чем больше вы будете применять, тем более безопасной будет ваша беспроводная сеть. Все описанные конфигурации можно сделать, подключившись к маршрутизатору, через веб-интерфейс или с консоли. Если вы делаете это через Интернет, то сначала найдите IP-адрес шлюза. Обычно это 192.168.0
.1 или 192.168.1.1
, но это не обязательно так. В макросах его можно найти, открыв Терминал и набрав по умолчанию grep netstat -nr |
. Если у вас есть Linux, всегда находите его через терминал, но запустив ip маршрут | grep
команда по умолчанию
. Если у вас есть Windows, вместо нее вы можете найти ее в командной строке (cmd), написав ipconfig
. Как только вы его найдете, подключитесь к нему через браузер, введите имя пользователя и пароль по умолчанию и начните настройку. Итак, хорошее чтение.
Индекс
- Подключение каскадного маршрутизатора
- Отключить WPS и WPS PIN-код
- Скрыть идентификатор SSID
- Изменить SSID
- Изменить пароль WiFi и шифрование
- Изменить учетные данные доступа к маршрутизатору
- Защищенная и изолированная гостевая сеть
- фильтр MAC-адресов
- Автоматическое отключение WiFi
- Уменьшить мощность беспроводных антенн
- Создание изолированных виртуальных локальных сетей
- Настройка брандмауэра
- Блокировать удаленный доступ и оставить VPN активным
- Отключить Телнет и SSH
- Деактивировать DHCP
- Периодическое обновление прошивки маршрутизатора
- Узнайте, кто подключен к вашему WiFi
Подключение каскадного маршрутизатора
Перед тем, как объяснить, как эффективно защитить WiFi сеть, я напоминаю вам, что было бы лучше подключить каскадный роутер к модему. Маршрутизатор и модем должны быть двумя отдельными устройствами. Вы можете перевести модем в режим моста или DMZ, чтобы маршрутизатор мог справиться со всеми соединениями, избегая двойного NAT и других проблем. Это позволит воспользоваться преимуществами усовершенствованного брандмауэра маршрутизатора, который будет гораздо более безопасной точкой доступа WiFi Access Point (AP), чем классический модем. Для получения дополнительной информации ознакомьтесь с моим руководством по подключению маршрутизаторов к модемам.
Деактивация PIN-кода WPS и WPS
Первая процедура, применяемая при рассмотрении вопроса о том, как защитить WiFi сеть, — это деактивация PIN-кода WPS и WPS. Вы можете этого не знать, но хакеры и взломщики могут легко попасть в самые распространенные модемные маршрутизаторы. Они используют программы типа Aircrack-ng и операционные системы типа Kali Linux для выполнения атак грубой силы. Они могут сделать это с помощью беспроводных сетевых карт, способных впрыскивать.
Одной из наиболее распространенных атак является атака, связанная с WPS. Они используют уязвимости WPS для угадывания PIN-кода WPS и после пароля WiFi. Для этого они деутентифицируют подключенного клиента, перехватывают рукопожатие и расшифровывают его с помощью различных мировых списков (словарей паролей). Здесь, в этих словарях, которые легко найти в интернете, часто встречаются стандартные WPS PIN-коды, а также оригинальные пароли наиболее распространенных маршрутизаторов.
Обычно PIN-код WPS не меняется, поэтому предполагается, что его легче взломать. Кроме того, он состоит только из чисел, которые обычно варьируются от 4 до 8 цифр. Так как он и кнопка WPS служат только для подключения устройств без ввода пароля, вы можете деактивировать его, не задумываясь об этом. Я не думаю, что это проблема для вашего друга или вас, чтобы ввести ваш WiFi пароль один раз, так как он будет сохранен позже.
Напомним, что неплохо бы отключить WPS и WPS PIN-код. Для этого перейдите в раздел «Беспроводная связь» маршрутизатора и отключите оба варианта. Когда закончите, перезагрузите маршрутизатор и попробуйте подключиться через WPS. Кнопка WPS теперь должна быть непригодна, как и PIN-код WPS.
Скрыть идентификатор SSID
Когда вы спросили своего друга, как защитить WiFi сеть, он, должно быть, предложил вам скрыть его SSID. Ну, в сети циркулируют различные легенды о так называемом Вещательном SSID. Среди многих говорится, что некоторые маршрутизаторы скрывают беспроводную сеть, используемый канал и его частоты 2,4 ГГц или 5 ГГц. Это абсолютно не так. Единственные маршрутизаторы, которые делают это, называются маршрутизаторами без WiFi или маршрутизаторами с выключенным WiFi.
Все маршрутизаторы с WiFi передают беспроводной сигнал, это точно. В противном случае, как компьютеры и устройства, которые вы используете, получат скрытую беспроводную сеть? Поэтому не думайте, что спрятав SSID, никто не сможет его обнаружить. На самом деле, наоборот. Это подтолкнет хакеров и взломщиков войти в эту сеть, потому что если она скрыта, это может означать, что «там есть что-то важное». Так что я предлагаю тебе оставить это в покое. Если вы все равно хотите это сделать, следуйте инструкциям о том, как скрыть имя сети WiFi, чтобы получить дополнительную информацию.
Изменить SSID
Одна полезная вещь, которую нужно сделать, когда задаешься вопросом, как защитить WiFi сеть — это изменить SSID. Вместо того, чтобы скрывать его, вы можете изменить имя по умолчанию на другое, как вам нравится. Таким образом, кто бы ни увидел сеть в этом районе, он не будет знать, какой модем-маршрутизатор у вас есть. С другой стороны, он не узнает твоего интернет-провайдера. Следовательно, он не сможет использовать известные уязвимости.
Чтобы изменить SSID, перейдите к настройкам беспроводной сети и найдите настройки, относящиеся к частотам 2,4 ГГц и 5 ГГц (в случае маршрутизатора переменного тока). В обоих разделах можно изменить имя сети WiFi. После этого перезагрузите маршрутизатор.
Изменить пароль WiFi и шифрование
Когда вы задаетесь вопросом, как защитить WiFi сеть, изменение пароля беспроводной сети является обязательным. Не позволяйте паролю оставаться тем, который застрял под модемным маршрутизатором. Также он деактивирует связанный с ним QR-код (если он есть). Это можно сделать в настройках беспроводной сети вашего маршрутизатора. Под SSID, несомненно, будет опция Изменить пароль. Щелкните по нему, введите старый ключ шифрования и введите новый как AES шифрование и WPA2 зашифрованную защиту. Пожалуйста, отдавайте предпочтение длинным паролям, состоящим из заглавных и строчных букв, цифр, символов и специальных символов. Для получения дополнительной информации читайте, как создавать безопасные пароли в Интернете и как изменить пароль к вашему WiFi маршрутизатору.
Изменить учетные данные доступа к маршрутизатору
Еще один метод безопасности, который можно использовать, когда задаешься вопросом, как обезопасить WiFi сеть — это изменить учетные данные доступа к маршрутизатору. Имя пользователя и пароль по умолчанию одинаковы для всех. Итак, зайдите в настройки Администрации и замените их. Опять же, ты предпочитаешь сложные пароли. Не используйте слова admin, 1111, 0000, пароль или 12345678. В противном случае, сначала оставьте стандартный. Для получения дополнительной информации читайте, как изменить пароль маршрутизатора.
Защищенная и изолированная гостевая сеть
Переходя к более сложной части защиты WiFi сети, вы можете приступить к созданию безопасной и изолированной гостевой сети. Они скажут вам, что ваш модем-маршрутизатор имеет сеть «Гость», которая позволяет вам позволить вашим друзьям соединиться, чтобы они не видели вашу сеть. Однако очень часто эти беспроводные сети не защищены, поэтому они открыты для всех. Если да, то установите сложный и трудно угадываемый пароль WPA2-AES. Затем подключитесь к своей беспроводной сети и проверьте, действительно ли вы не можете получить доступ к своей сети.
Наконец, включите изоляцию каждого клиента в гостевой сети. Опция должна называться AP изоляцией. Благодаря этому те, кто подключен к гостевой сети, не смогут увидеть других клиентов, подключенных к той же беспроводной сети. Все они будут изолированы и смогут пользоваться только Интернетом. Это отличная настройка безопасности для менеджера магазина или отеля, который хочет создать беспроводную точку доступа для своих клиентов.
фильтр MAC-адресов
Теперь, когда вы разобрались, как защитить WiFi сеть, давайте перейдем к самому сложному. Продолжайте настройку фильтра MAC-адресов. Как Вы уже знаете, iPad, iPhone, Android смартфон и любое другое устройство или компьютер со встроенной Ethernet или беспроводной сетевой картой имеет MAC-адрес. Это уникальный адрес, который, если он не изменен на программном уровне, не может быть изменен. Определив местонахождение каждого устройства в сети, вы можете создать белый список MAC-адресов на вашем маршрутизаторе. Таким образом, даже если кому-то удастся обнаружить WiFi-пароль, его руки будут «связаны», потому что он все равно не сможет подключиться. Маршрутизатор отклонит его, так как MAC-адрес используемого им устройства не находится в белом списке.
Фильтрация MAC-адресов — одна из лучших функций, которая действительно позволяет защитить WiFi сеть. Так что, если у вашего модемного маршрутизатора его нет, я предлагаю вам купить новый, может быть, производительный и дешевый. Взгляните на маршрутизаторы Mikrotik, например, качественные и дешевые, хотя и немного сложноватые в настройке. Если ты гик, то это то, что тебе нужно, поверь мне.
Автоматическое отключение WiFi
Еще одна действительная процедура, применяемая при рассмотрении вопроса о том, как защитить WiFi сеть, — это автоматическое отключение беспроводного интерфейса. Когда вы находитесь вдали от дома или выходите из офиса, если нет других людей, использующих его, вы можете настроить автоматическое отключение WiFi. Делая это, например, если кто-то осуществляет атаку грубой силы на вашу беспроводную сеть, вы перестаете подключаться к ней. Следовательно, хакеру или взломщику придется начинать атаку грубой силы снова и снова.
Для WiFi нет смысла оставаться на нем, если вы его не используете. И если ты не уверен, что сможешь это сделать из-за автоматических ночных обновлений, забудь об этом. При необходимости обновления прошивки маршрутизатора скачайте прошивку с официального сайта производителя. Затем проверьте загрузку, запустив MD5 Checksum, и, только если вы найдете совпадение, переходите к апгрейду. Таким образом, вы также избежите любого человека в средней атаке, известной под аббревиатурой MIM, MITM или MITMA.
Однако верно и то, что не все маршрутизаторы позволяют планировать автоматическое выключение. Если у вас есть маршрутизатор, который поддерживает WRT, флэш Advanced Tomato, Open-WRT или DD-WRT. Такая прошивка позволяет защитить WiFi сеть таким образом. Если нет, проверьте руководство.
Уменьшить мощность беспроводных антенн
Когда вы задумываетесь о том, как защитить WiFi сеть, вам также необходимо знать, насколько широк радиус действия беспроводной сети. Вы должны регулировать его мощность в соответствии с квадратными метрами дома или офиса. Какой смысл в том, чтобы беспроводной сигнал вашей WiFi сети распространялся в домах ваших соседей? Никто, на самом деле, лучше вообще этого не получит. Итак, проверьте уровень беспроводного сигнала и отрегулируйте дБи антенн. Если даже самая низкая установка генерирует слишком сильный беспроводной сигнал, измените антенны на менее мощную пару, т.е. с меньшим количеством дБи.
Таким образом, вы можете эффективно защитить WiFi сеть, потому что вы автоматически уменьшите передаваемые кадры Маяка. Это усложнит задачу хакеров и взломщиков по прослушиванию сетевых пакетов WLAN. Проще говоря, им будет сложнее перехватить вашу беспроводную сеть. Для получения более подробной информации о рамах маяков, вы можете прочитать эта страница Википедии.
Если вы ищете точку доступа для защиты сети WiFi с помощью этой функции, попробуйте продукты Ubiquity Networks, в частности UniFi AP AC Pro. Эти точки доступа регулируют мощность дБи, испускаемых автоматически. Это можно сделать, рассчитав расстояние до подключенных клиентов.
Создание изолированных виртуальных локальных сетей
Если вас интересует, как защитить WiFi сеть, и вы не имеете или не хотите использовать гостевую сеть, вы можете создать изолированные VLAN. Это виртуальные локальные сети, идентифицируемые по конкретному и уникальному идентификатору. Благодаря им вы можете сегментировать и распознавать сетевой трафик. Их можно использовать, например, для разделения сети компании, а также сложной домашней сети. Конечно, чтобы изолировать их, вам придется использовать брандмауэр.
Для создания VLAN и разделения портов коммутатора или беспроводных сетей необходимо быть знакомым с этой темой. Кроме того, у вас должен быть маршрутизатор, точка доступа или управляемый коммутатор, способный интерпретировать этот трафик и поддерживающий стандарт IEEE 802.1q для транкинга VLAN.
Настройка брандмауэра
Самая важная часть, когда вы задумываетесь о том, как защитить WiFi сеть, это настройка брандмауэра. Брандмауэр — самое мощное оружие в маршрутизаторе. Сначала включите его, если еще не включили. После этого оставьте все правила по умолчанию активными и добавьте другие в соответствии с вашими потребностями. Например, вы можете запретить доступ к веб-интерфейсу маршрутизатора людям, подключившимся через WiFi, и в то же время разрешить им пользоваться Интернетом. Удалить все входные порты, кроме TCP 53, UDP 53 и UDP 67, связанные с DNS и DHCP соответственно. Кроме того, Вы можете заблокировать все TCP и UDP порты, которые Вы не используете, на входе, выходе и в прямом эфире. Однако, помните о любых активных удаленных соединениях, таких как VPN (см. ниже).
Если ваш маршрутизатор не позволяет вам настроить брандмауэр или сценарии, содержащие правила iptables, измените его, не задумываясь. Брандмауэр должен быть настраиваемым, иначе будет сложно эффективно защитить WiFi сеть и всю сеть в целом.
Блокировать удаленный доступ и оставить VPN активным
Теперь, когда я рассказал вам, как обезопасить WiFi сеть с помощью брандмауэра, вы можете поинтересоваться, безопасно ли использовать маршрутизатор в качестве VPN сервера. Ну, наличие виртуальной частной сети является полезным, и это не означает, что маршрутизатор должен быть открыт для Интернета, а значит и для всего мира. Например, настроив VPN сервер с OVPN, т.е. с OpenVPN, вы можете создать свободную и безопасную VPN, которая останется активной на определенном TCP или UDP порту, например 1194. Соединение защищено SSL-сертификатами (установленными на серверах и клиентах). Кроме того, вы можете использовать 2048-битные или 4096-битные RSA ключи для генерации CA (Certificate Authority), которые практически невозможно расшифровать.
Однако, для защиты WiFi сети необходимо заблокировать удаленный доступ к странице входа модема. Хакер, подключившись удаленно, может войти в модем-маршрутизатор, воспользовавшись одной из его уязвимостей. При этом он может найти WiFi-пароль и затем подключиться к вашей сети в ненарушенном состоянии.
Чтобы избежать этого, необходимо отключить удаленный доступ. Если вы не можете найти конкретную опцию, применяйте блок с помощью брандмауэра. Удаленные подключения осуществляются через статический публичный IP-адрес или DynDNS. Затем просто создайте правило, блокирующее доступ к Web GUI для клиентов, приходящих с заданного IP-адреса или имени хоста.
Отключить Телнет и SSH
Всегда говоря о доступе к веб-интерфейсу маршрутизатора, когда вы задумываетесь о том, как защитить WiFi сеть, вы также должны отключить Telnet и SSH. Сетевые протоколы Telnet и SSH обеспечивают доступ к маршрутизатору с помощью терминала с Linux и Mac, а также с помощью команд Putty или Prompt с Windows. Они позволяют подключаться, выполняя команды telnet
и ssh
. Соединение осуществляется по TCP-порту 23 для Telnet и TCP-порту 22 для SSH.
Маршрутизатор должен предусмотреть отключение этих обращений в разделе Администрирование. Однако, если бы не было возможности, вы могли бы использовать брандмауэр. Сконфигурируйте входные порты tcp 22 и tcp 23 для интерфейса wlan. При этом, кто бы ни подключался к вашему WiFi, он не сможет использовать эти протоколы для входа в маршрутизатор.
Деактивировать DHCP
Другой метод, который вы можете использовать, когда вам интересно, как защитить WiFi сеть — это отключить DHCP. DHCP-сервер заставляет устройства автоматически подключаться к сети, потому что он назначает им динамический IP-адрес. При его выключении все подключенные устройства должны иметь статический IP-адрес. В противном случае они не будут подключены к сети и, следовательно, не будут работать.
Я советую отключать его только в том случае, если вы знаете, что делаете, и если DHCP сервер не используется в вашей беспроводной сети в больших количествах. Если вы хотите продолжить, следуйте инструкциям по отключению DHCP-маршрутизатора. Затем ознакомьтесь с процедурами назначения статического IP для Mac, настройки статического IP на Windows, установки статического IP на iPhone, установки статического IP на Android и назначения статического IP для принтера.
Периодическое обновление прошивки маршрутизатора
Последняя процедура, которую вам нужно использовать, когда вы задаетесь вопросом, как обезопасить WiFi-сеть, — это периодическое обновление прошивки маршрутизатора. Все маршрутизаторы имеют встроенное программное обеспечение, т.е. программное обеспечение, которое выполняет функции в соответствии со спецификациями устройств. Обновления прошивки часто исправляют ошибки и уязвимости. Чтобы предотвратить использование этих уязвимостей для доступа к вашему маршрутизатору, необходимо его обновить. Это относится, например, к патчам безопасности для KRACK, эксплойту, который позволяет хакерам взламывать WPA2. Такие обновления имеют первостепенное значение для того, чтобы их нельзя было взломать под Windows, Linux, macOS, Android или iOS.
Поэтому, как только выходит обновление, проверьте журнал изменений, создайте резервную копию конфигурации и выполните обновление. Пожалуйста, не ждите слишком долго. Пока производитель поддерживает маршрутизатор, продолжайте обновлять его. После этого установите новую прошивку стороннего производителя или измените ее.
Узнайте, кто подключен к вашему WiFi
Теперь, когда вы знаете, как защитить WiFi сеть и сделали это, часто спрашивайте себя, как увидеть, кто подключен к моему WiFi. Даже при наличии всех мер безопасности, кто-то может проникнуть в вашу сеть. Помните, ни одна сеть не защищена от взлома. Поэтому не забудьте проверить список устройств, подключенных к маршрутизатору, и их MAC-адреса. Только так ты будешь в безопасности.