Убедитесь, что то, что происходит в вашей сети, остается конфиденциальным в вашей сети. 
Безопасность вашей домашней сети настолько хороша, насколько хороша конфигурация вашего маршрутизатора или шлюза. Оставьте его открытым или уязвимым, и вы можете в лучшем случае столкнуться с халявщиками, которые захватят вашу пропускную способность. В худшем случае шпион может воспользоваться возможностью изучить ваш внутренний трафик, надеясь узнать о вас конфиденциальную информацию, которую можно использовать.
Чтобы убедиться, что к вашей сети подключены только одобренные устройства, вы можете предпринять несколько простых шагов для повышения ее безопасности, которые мы объясним ниже. Если вы не можете получить доступ к некоторым из этих настроек в вашем шлюзе (комбинация модема / маршрутизатора, предоставляемая вашим интернет-провайдером), рассмотрите возможность отключения части маршрутизатора и использования вместо него выделенного маршрутизатора, либо традиционного, либо ячеистого.
- Измените свои пароли
- Упоминается в этой статье
- Последний пропуск
- Включить шифрование
- Измените свой SSID
- Отключить удаленный доступ
- Отключить настройку защиты Wi-Fi (WPS)
- Обновляйте встроенное ПО вашего маршрутизатора
- Отключить UPnP (и функции, которые обходят защиту брандмауэра)
- Настройка гостевой сети для устройств «умного дома»
- Дополнительные шаги
- Отключите доступ Wi-Fi к учетной записи администратора вашего маршрутизатора
- Включить фильтрацию MAC
Измените свои пароли
В зависимости от возраста вашего маршрутизатора вам может потребоваться изменить как пароль администратора (который дает доступ к интерфейсу управления), так и пароль Wi-Fi.
Упоминается в этой статье
Последний пропуск
Прочитайте наш обзор
Старые маршрутизаторы обычно по умолчанию используют сверхпростые пароли для учетной записи администратора — например, “admin” и “password” — и их легко найти в Интернете. Возможно, вы также выбрали простой, поддающийся взлому пароль при включении шифрования для вашей сети. Для обоих сценариев выберите новую, более прочную замену. Лучший способ сделать это — встроенный генератор паролей в менеджере паролей — они будут действительно случайными и, следовательно, более безопасными, а менеджер позаботится о том, чтобы вы их не забыли. (Существуют хорошие бесплатные менеджеры паролей, так что надежная онлайн-безопасность не должна вам ничего стоить.)
Для более новых маршрутизаторов они часто поставляются со случайными паролями по умолчанию. Однако не повредит изменить их, если на вашем маршрутизаторе или шлюзе напечатана эта информация, особенно если у вас меньше контроля над тем, кто может иметь физический доступ к устройству. Просто обязательно следите за своими новыми паролями, в идеале в менеджере паролей, как уже упоминалось.
Включить шифрование
Metamorworks / Getty Images
Вы всегда должны шифровать свой сетевой трафик. В наши дни выбирайте WPA2 для обеспечения наилучшей безопасности. Старые протоколы, такие как WPA и древний WEP, не защитят вас должным образом. Если ваш маршрутизатор поддерживает более новый протокол WPA3, вы можете попробовать его — это улучшение по сравнению с WPA2 — но все ваши подключающиеся устройства должны поддерживать этот протокол. Большинство людей могут пока придерживаться WPA2, а затем перейти на WP3, как только все устройства в доме также смогут совершить скачок.
При настройке шифрования WPA2 выберите WPA2 Personal, если в настройках вашего маршрутизатора есть выбор между ним и WPA2 Enterprise. Кроме того, если вы рассматриваете TKIP и AES как разные варианты шифрования, выбирайте AES, поскольку он намного надежнее.
Для старых устройств, которые не поддерживают WPA, подумайте, наконец, об обновлении вашего маршрутизатора. Вы получите лучшую безопасность, более высокую скорость и дополнительные функции всего за 50 долларов (или меньше, если дождетесь распродажи). Если вы используете древний маршрутизатор, у которого есть только WEP, замените его stat. Вы едва ли на один шаг выше того, чтобы иметь открытую сеть.
Что касается людей, которые отключают шифрование, потому что вы хотите поделиться своим Интернетом с другими: мы приветствуем ваш альтруизм, но не позволяйте этому возвращаться, чтобы преследовать вас. Как упоминалось выше, отсутствие шифрования означает, что люди могут шпионить за вашим интернет-трафиком, давая им подсказки о вашей деятельности (включая банковскую). Это может привести к неприятным проблемам в будущем.
Измените свой SSID
CloudTrax
Назовите свою сеть с умом. Это должно быть что-то общее, но не слишком распространенное, что не раскрывает ваш адрес.
Идентификатор набора служб (SSID) — это имя беспроводной сети. Вот что вы видите при попытке подключиться к сети Wi-Fi: Linksys616, D-Link2289, 555MainSt, у нас здесь нет Wi-Fi и т.д.
Поскольку старые маршрутизаторы по умолчанию используют сверхпрочные или легко взламываемые пароли, изменение SSID на неидентифицирующее слово или фразу помогает помешать хакерам, ищущим низко висящие плоды. Оставьте его как linksys, и опытный пользователь может понять, что вы используете гораздо более старый маршрутизатор Linksys с “admin” в качестве пароля для управления маршрутизатором. Если вы не изменили этот пароль (а большинство людей этого не делают), ваша домашняя сеть созрела для их изучения.
По мере продвижения вперед во времени многие маршрутизаторы используют комбинацию имени производителя и числовой строки (часто номер модели) для SSID, что еще больше упрощает поиск пароля администратора по умолчанию. Если у вас нет достаточно современного маршрутизатора, который выдает случайные пароли как часть заводских настроек, вы можете быть еще более уязвимы. Так что просто измените SSID. (Также не используйте для этого свой адрес. Не нужно делать себя более узнаваемым.)
Примечание: Много лет назад распространенной рекомендацией было не транслировать ваш SSID: то есть скрывать его из списка доступных сетей Wi-Fi поблизости. Но попытка обеспечить безопасность с помощью обфускации здесь на самом деле не работает — было доказано, что кто-то может легко обнаружить скрытые сети с помощью беспроводного сканера спектра. Поскольку отключение широковещательной передачи SSID также затрудняет подключение людей к вашей сети, вам, как правило, лучше оставить ее видимой, используя самое надежное доступное вам шифрование и создав очень надежный пароль Wi-Fi.
Отключить удаленный доступ
Некоторые маршрутизаторы позволяют вам получить доступ к учетной записи администратора из-за пределов вашей домашней сети. Отключите эту функцию. Крайне немногим людям нужно оставлять это включенным, и, выключив его, кто-то должен будет находиться в зоне действия вашего маршрутизатора и успешно подключиться к нему, чтобы попытаться нанести вред. Затем вы можете защитить себя от последнего сценария, включив шифрование, изменив свой SSID и отключив WPS (подробно описано ниже).
Отключить настройку защиты Wi-Fi (WPS)
TP-Link
На этом старом маршрутизаторе TP-Link (около 2010 года выпуска) вы можете активировать WPS нажатием кнопки.
WPA2 и более старый протокол WPA требуют более сложных паролей для доступа к Wi-Fi. Поэтому, чтобы упростить подключение к этим типам сетей, производители маршрутизаторов начали предлагать Wi-Fi Protected Setup, или WPS, в качестве функции. Но его можно легко взломать, и поэтому вам следует отключить его, несмотря на его намерения сэкономить время.
Рассматривайте эту функцию как сродни установке как пароля, так и другой, менее сложной формы аутентификации на одном и том же устройстве. На ПК с Windows 10 или современном мобильном устройстве это может быть личный идентификационный номер (PIN-код) или регистрация отпечатка пальца. Вместо ввода пароля вы можете просто ввести более короткий PIN-код или прижать палец к считывающему устройству.
WPS работает аналогично, за исключением того, что он включен в ваши настройки по умолчанию. Два распространенных метода реализации — это либо восьмизначный PIN-код, либо кнопка, которую вы нажимаете на маршрутизаторе (физически или виртуально), чтобы аутентифицировать устройство и разрешить ему подключение к вашей сети. Метод PIN—кода является более уязвимым из двух: хакеры могут угадать PIN-код с помощью грубой силы — и, возможно, заблокировать ваш маршрутизатор, когда произойдет взлом, что фактически вызовет атаку типа «отказ в обслуживании» в вашей сети.
Что касается кнопочного метода, любой, у кого есть физический доступ к вашему маршрутизатору, все равно может использовать его как обходной способ определения вашего пароля Wi-Fi — так что, если вы пытаетесь ограничить доступ, вы можете подорвать свои усилия, оставив эту функцию активной.
Обновляйте встроенное ПО вашего маршрутизатора
Со временем в существующей прошивке вашего маршрутизатора могут быть обнаружены уязвимости. Выполнение регулярных обновлений поможет устранить эти недостатки — легкая победа для безопасности домашней сети, поскольку в наши дни многие маршрутизаторы имеют автоматические уведомления и обновления, встроенные в интерфейс учетной записи администратора. Даже если у вас есть маршрутизатор, который не делает обновления так просто, вы можете легко выполнить их вручную, перейдя на страницу поддержки вашего маршрутизатора и посмотрев, какая последняя версия прошивки. Если доступно более новое обновление, загрузите его, а затем следуйте инструкциям по применению обновления к вашему маршрутизатору.
Отключить UPnP (и функции, которые обходят защиту брандмауэра)
TheIgel69 / Викисклад
Техническая схема архитектуры UPnP. Как домашнему пользователю, вам не нужно так глубоко погружаться в технические детали для повышения сетевой безопасности. Просто выключи его.
Универсальный подключи и играй (UPnP) — это распространенная функция маршрутизаторов, которая позволяет сетевым устройствам легко находить друг друга. В дополнение к этому UPnP может помочь при попытке заставить службы VOIP и онлайн—игры на консолях работать должным образом — он позволяет устройствам из других сетей получать к ним доступ. Некоторые маршрутизаторы также имеют то, что производитель может назвать “демилитаризованной зоной”, или DMZ — режим, который позволяет всем портам устройства выходить в Интернет. Это более ядерный вариант, чем UPnP.
Любой порт, подключенный к Интернету, является уязвимостью. Windows имеет встроенный брандмауэр не просто так: он защищает ваш компьютер от попыток злоумышленников получить доступ, часто в надежде использовать ваш компьютер для выполнения DDoS-атак. И если кто-то другой будет занимать ваше устройство, вы не сможете им пользоваться.
Избегайте оставлять порты открытыми на устройстве и отключайте любую функцию, подобную DMZ. UPnP тоже часто не нужен, так что и это тоже оставьте. Вместо этого используйте ручную переадресацию портов.
Настройка гостевой сети для устройств «умного дома»
PCWorld
Пример настройки гостевой сети с помощью упрощенного интерфейса приложения для телефона.
Гостевая сеть — это функция на некоторых маршрутизаторах, где вы можете настроить отдельный SSID и пароль для доступа к вашей домашней сети, и люди в этой сети не смогут видеть устройства (и их трафик) в вашей основной сети.
Разделяя доступ в Интернет ваших гостей на доступы вашей семьи, вы можете свести к минимуму отслеживание трафика ваших домашних устройств. Гостевая сеть также является хорошей защитой от небезопасных устройств, таких как радионяни, интеллектуальные колонки и другие интеллектуальные устройства, которые можно подключить к сети, но часто не имеют надежной защиты, чтобы предотвратить их захват и последующее использование в атаках подслушивания.
Дополнительные шаги
Отключите доступ Wi-Fi к учетной записи администратора вашего маршрутизатора
Большинство людей нечасто входят в учетную запись администратора своего маршрутизатора. А на некоторых маршрутизаторах вы можете ограничить доступ учетной записи администратора только к устройствам с проводным подключением Ethernet. Поэтому, если вы действительно хотите заблокировать эти привилегии, включите эту функцию. После этого кому-то понадобится как физический доступ, так и проводное устройство для управления вашим маршрутизатором.
Этот параметр наиболее идеален для людей, входящих в учетную запись администратора через ПК. Такие устройства, как телефоны и планшеты, все еще могут работать, но вам понадобится соответствующий ключ для подключения кабеля Ethernet к устройству.
Включить фильтрацию MAC
Майкл Браун / IDG
Пример MAC-адреса.
Все устройства с поддержкой Интернета имеют MAC-адрес управления доступом к мультимедиа — уникальную строку буквенно-цифровых символов, отформатированную в виде шести пар символов, соединенных двоеточиями. MAC-адрес — это то, как ваш компьютер, телефон или другое устройство идентифицирует себя с вашим маршрутизатором.
Вы можете сделать Wi-Fi доступным для определенных устройств на основе MAC-адресов. Известный как фильтрация по MAC, ваш маршрутизатор предоставляет доступ, если MAC-адрес находится в его списке разрешенных. Подобно вышибале, проверяющему список VIP—персон, ваш маршрутизатор запретит подключение любого устройства, не включенного в этот список, даже если оно предоставит правильный пароль Wi-Fi.
Имейте в виду, что фильтрация MAC-адресов является скорее помехой для тех, кто хочет получить несанкционированный доступ к вашей сети, а не дополнительным надежным уровнем защиты. MAC-адреса могут быть подделаны. Таким образом, любое устройство, подделывающее MAC-адрес устройства из списка разрешенных, все равно может подключиться к вашему маршрутизатору с помощью вашего пароля Wi-Fi.
Фильтрация MAC дома также может сделать вас менее анонимным, когда вы находитесь вне дома. Последние версии Android и iOS используют рандомизированные MAC-адреса, чтобы снизить ваши шансы быть отслеженными по этому идентификатору. Большинство людей предпочтут просто отключить эту функцию для фильтрации MAC, поскольку альтернативой является обновление списка разрешений вашего маршрутизатора новым MAC-адресом каждый раз, когда вы хотите подключиться к Wi-Fi дома.
