В наші дні в звичайній квартирі міститься безліч технологічних чудес, більшість з яких знаходиться в домашній мережі і через маршрутизатор підключені в інтернет. При цьому інтернет сповнений хакерами, шпигунами, шкідливими додатками та іншими загрозами. Всі вони намагаються отримати доступ до ваших пристроїв і мережі. Вам це абсолютно ні до чого.

З цієї причини потрібно прямо зараз вжити заходів щодо забезпечення безпеки домашньої мережі.

У даній статті пропонується план по організації надійного захисту домашньої мережі. Буде потрібно виконати деяку роботу, але через кілька годин ви отримаєте значно більш безпечну мережу. Цього повинно вистачити для захисту.

Зазвичай зловмисники шукають незахищені мережі замість того, щоб витрачати час на злом захищених.

Завдання буде розділене на кілька частин. Забезпечення захисту мережі вимагає декількох змін, одні з яких виробляються на маршрутизаторі, інші на пристроях, а треті у людини в голові. Всі зміни можна розбити на наступні категорії:

  1. робота з маршрутизатором.
  2. робота з пристроями підключеними до мережі.
  3. зміна підходів до використання інтернету та пристроїв.
  4. додаткові апаратні заходи безпеки.

Роботи належить виконати чимало. Рекомендується переглянути представлений список по порядку і виконати всі описані кроки, перш ніж братися за наступні. Таким чином ви будете працювати систематично, в результаті чого захист буде встановлена швидше і надійніше.

Може знадобитися більше одного підходу. Не поспішайте зробити все за один раз, щоб не упустити нічого важливого.

1. Робота з маршрутизатором

Маршрутизатор знаходиться в центрі домашньої мережі. До нього підключаються всі пристрої і через нього вони виходять в інтернет. Найчастіше в домашній мережі тільки один маршрутизатор, до якого здійснюють бездротове підключення інші пристрої.

Оскільки маршрутизатор знаходиться в центрі, на нього потрібно звернути увагу в першу чергу. Прочитайте документацію від нього, щоб зрозуміти, як зайти в панель управління маршрутизатором.

Увійшовши в панель управління, ви отримуєте можливість поміняти безліч налаштувань, посиливши захист домашньої мережі від атак з інтернету.

Вносити зміни рекомендується в наступному порядку.

При покупці маршрутизатора в магазині він зазвичай поставляється з заздалегідь заданим паролем від мережі wi-fi і ssid (ідентифікатором набору послуг). Якщо зловмисник знає, яка у вас модель маршрутизатора, всього за пару хвилин він зможе знайти в інтернеті ці встановлені значення.

Якщо у вас маршрутизатор від вашого провайдера, фахівці могли задати пароль і ssid, помінявши встановлені значення. В такому випадку ці дані записані у провайдера і сторонні можуть дізнатися їх. Ви повинні самі задати пароль wi-fi і ssid, щоб їх знали тільки ви.

Існують посібники зі створення складних паролів. Також можна подивитися документацію від маршрутизатора. Або ж можна знайти цю документацію в інтернеті і виконати описані там вказівки, щоб поміняти пароль і ssid.

Можна задати будь-який пароль і ssid, але рекомендується зробити ssid “нудним”, а пароль довгим.

Нудний ssid означає, що він не привертає до себе уваги і не містить персональної інформації. Не слід давати ssid таку назву, яке запам’ятається хакеру при скануванні всіх мереж wi-fi поблизу від вас. Якщо ж в назві ssid міститься особиста інформація, на зразок імені або року народження, це не тільки приверне увагу, але і може посприяти злому.

Якщо пароль буде довгим, хакеру або сусідові буде потрібно набагато більше часу, щоб вгадати його. Необхідно як мінімум 12 символів і щоб це не було звичайне слово або цитата.

Безпека довгих паролів вище, але зате їх важко запам’ятати. Втім, запам’ятовувати їх і необов’язково.

Застосовувати менеджер паролів набагато краще, ніж пробувати запам’ятати безліч довгих складних паролів самостійно. Існує чимало подібних менеджерів, від безкоштовних до досить дорогих.

Необхідно знайти спосіб заборонити стороннім підключатися до вашої мережі. Маршрутизатори wi-fi вміють шифрувати передані дані, але шифрування за замовчуванням не завжди включено або застосовується не найнадійніший алгоритм. Переконайтеся, що у вашому маршрутизаторі встановлено варіант шифрування wpa2 (wireless protected access 2).

Є різні версії wpa2. Уникайте абревіатури tkip, вибирайте варіант з абревіатурою aes.

Вимкніть wifi protected setup (wps)

Wps (wifi protected setup) являє собою систему для спрощення підключення нового пристрою до мереж wi-fi. На жаль, даний механізм вразливий для злому. Програма reaver-wps використовує недоліки цієї технології для злому сильного шифрування wpa2, яке ви налаштували на своєму маршрутизаторі.

Єдиним виходом є відключення wps. Якщо цього не зробити, назване вище додаток може зламати захист за кілька годин.

Вимкніть universal plug and play (upnp)

Universal plug and play (upnp) являє собою стандарт, що дає пристрою можливість відкривати порт в інтернет для установки зв’язку з пристроями за межами вашої локальної мережі. Вважається, що якщо програма на вашому пристрої запитує докладне підключення, вона робить це з серйозної причини.

Природно, в реальності це не завжди так. Якщо хакер встановить на ваш пристрій шкідливу програму, вона зможе використовувати upnp для зв’язку із зовнішнім світом і виконання різних неприємних для вас дій.

Якщо хакери на ваших пристроях вам не потрібні, вимкніть upnp.

Вимкніть віддалене управління

Віддалене управління дає доступ до адміністративного інтерфейсу маршрутизатора з тих пристроїв, які безпосередньо не підключені до вашої мережі. Ось тільки якщо ви можете з інтернету отримати доступ до інтерфейсу маршрутизатора, то зможуть і хакери з будь-якої точки земної кулі.

Звичайно, буває зручно поміняти налаштування маршрутизатора, коли ви знаходитесь далеко від дому. Втім, ще зручніше бути спокійним щодо того, що зловмисники не проберуться в вашу мережу. Вимкніть опцію віддаленого управління.

Поки ви вносите зміни, можна заодно поміняти пароль адміністратора для входу в інтерфейс маршрутизатора. Ви вже змінили пароль на доступ до мережі wi-fi, але це не те ж саме, що пароль за замовчуванням, який використовується для входу в маршрутизатор і внесення описаних вище змін в налаштуваннях.

Цей пароль не має великого значення, оскільки для його введення у людини вже повинен бути доступ в вашу мережу, а ви відключили віддалене управління. Однак, він змінюється за пару секунд і у вас вже встановлений менеджер паролів, тому зберегти його буде неважко.

Брандмауер являє собою систему, яка контролює передачу даних між вашими пристроями та інтернетом. Серед іншого брандмауер може заблокувати трафік від шкідливих сайтів. Також він може заборонити шкідливим програмам, які пробралися в вашу мережу, відправляти зібрані в ній дані. Це можуть бути персональні відомості або дані кредитних карт. Ви точно не захочете, щоб вони потрапили до зловмисників.

На більшості маршрутизаторів є вбудований брандмауер, але може знадобитися включити його. В налаштуваннях маршрутизатора знайдіть опцію зі словами firewall, spi firewall і тому подібними і переконайтеся, що вона включена.

Як і звичайним пристроям, маршрутизаторам періодично потрібні оновлення. Вони містять виправлення помилок, закривають уразливості і захищають від хакерських атак. З цієї причини важливо, щоб на вашому маршрутизаторі завжди була встановлена остання з доступних версій прошивки.

Оновити прошивку вручну можна виявитися непросто, але необхідно. Більшість власників маршрутизаторів не мають досвіду їх оновлення і хакери користуються цим для проникнення в домашню мережу. Знайдіть в інтернеті, як виконувати оновлення прошивки вашого маршрутизатора, і зробіть це.

Змушуйте гостей користуватися гостьовою мережею

У сучасному підключеному до інтернету світі люди звикли постійно залишатися на зв’язку. Якщо до вас додому прийшли гості, напевно вони захочуть отримати доступ до вашого wi-fi.

Проблема в тому, що не можна давати пароль від мережі wi-fi всім без розбору. Варто тільки дати пароль одній людині, і ви не можете бути впевнені в тому, що його не впізнають інші.

Також ви не можете бути впевненим, що люди не будуть зловживати доступом до вашої мережі, коли опиняться поблизу. Або вони можуть поділитися цими даними з усім інтернетом, якщо хакер отримає доступ до своїх пристроїв.

Якщо ви не хочете турбуватисяПро все це, у вас є два варіанти дій. По-перше, просто не давати гостям доступ до вашого wi-fi, що навряд чи підвищить вашу популярність серед людей. Інший варіант полягає у використанні гостьової мережі.

Гостьова мережа дає підключаються доступ до інтернету, але не до іншої частини локальної мережі. Таким чином, гості зможуть виходити в інтернет без того, щоб піддавати вашу домашню мережу небезпеки. Налаштувати гостьову мережу дуже легко. Якщо ваш маршрутизатор підтримує таку можливість, скористайтеся їй.

2. Робота з пристроями

Коли ви закінчили налаштовувати маршрутизатор, пора подбати про захист пристроїв. Залежно від кількості підключених до маршрутизатора пристроїв це може займати досить тривалий час.

Кожне виходить в інтернет пристрій вимагає індивідуальних налаштувань. Оскільки у всіх різні моделі комп’ютерів, ноутбуків, смартфонів і планшетів, ми будемо давати опис в загальних рисах.

Як і у випадку з маршрутизатором, потрібно оновлювати всі підключені до нього пристрої. Це комп’ютери, планшети, смартфони. Перевіряйте наявність на них нових версій операційної системи.

Для інших пристроїв з адміністративним інтерфейсом перевіряйте документацію, щоб зрозуміти, чи можна встановлювати на них оновлення.

Також хотілося б вірити, що виробники всіх пристроїв дали їм можливість оновлюватися автоматично.

Встановлення останньої версії програмного забезпечення є головним способом захисту пристроїв від атак з інтернету. В першу чергу це важливо для мобільних пристроїв. Смартфони постійно знаходяться при вас і підключаються до різних мереж, тоді як комп’ютери розташовуються тільки у вас вдома і використовують тільки одне відносно безпечне підключення.

Якщо мобільний пристрій стане жертвою якогось витонченого вірусу, він може проникнути через захист маршрутизатора прямо в домашню мережу. В ідеальному випадку ви будете застосовувати цей і всі наступні кроки до всіх підключеним до інтернету пристроїв, але в першу чергу необхідно зайнятися мобільними пристроями.

На деяких пристроях можуть бути встановлені логіни і паролі. В такому випадку їх потрібно поміняти на власні. Ці логіни і паролі можуть бути відомі багатьом людям, що значно знижує захист пристроїв.

Поміняйте будь-які заздалегідь задані логіни і паролі. Встановіть довгі складні паролі і зберігайте їх в менеджері паролів, щоб не втратити.

Також потрібно звернути увагу на пристрої, де ви задали логіни і паролі самі. Їх теж потрібно періодично міняти. Це підвищить захист мережі, зменшуючи ймовірність того, що хтось сторонній підбере правильну комбінацію.

Встановіть антивірус

На пристроях з такою можливістю поставте антивірусну програму. Вони є для комп’ютерів, смартфонів, планшетів, ноутбуків.

Активуйте брандмауер

Якщо ви активували брандмауер в маршрутизаторі, не завадить використовувати брандмауер і на пристроях.

Увімкнення брандмауера на кожному пристрої забезпечує додатковий захист. В першу чергу це важливо для мобільних пристроїв, які часто працюють за межами домашньої захищеної мережі. У зовнішньому світі брандмауер допомагає захиститися від шкідливих сайтів.

Повернувшись назад в домашню мережу, брандмауер захищає пристрій від заражених пристроїв всередині мережі. Він зменшує ймовірність того, що при зараженні одного мережевого пристрою вірус пошириться на інші.

Використовуйте на ваших пристроях гостьову мережу

Ми вже налаштували гостьову мережу для доступу в інтернет без загрози для основної мережі. Бажано підключати всі смарт-пристрої до цієї гостьової мережі.

У вас може бути чимало подібних пристроїв і мало інформації про те, наскільки добре вони захищені. Щоб не ризикувати, можна підключати їх до гостьової мережі і при наявності проблем основна мережа залишиться недоторканою.

Більшість комп’ютерів, смартфонів і планшетів продаються з встановленими додатками, які найчастіше не потрібні. Вони витрачають системні ресурси, займають місце на диску, уповільнюють роботу, можуть порушувати конфіденційність і послаблювати захист.

Ці сміттєві програми можуть містити в собі антивіруси, програми для здійснення покупок, панелі інструменти пошукових движків, рекламу, шпигунів, інші непотрібні речі.

Необхідно все це якомога швидше видалити, навіть якщо в роботі пристроїв немає проблем. Сказати це може бути легше, ніж зробити, оскільки багато таких програм складно або зовсім неможливо видалити.

Виконайте резервне копіювання важливих даних

Це не можна назвати методом захисту мережі. Швидше це підстраховка на той випадок, якщо в мережу все ж проникнуть.

При будь-якій можливості виконуйте резервне копіювання всіх пристроїв з важливою інформацією. Кращим варіантом є резервне копіювання в хмару або ж можна скористатися зовнішнім диском або мережевим сховищем.

Які б варіанти резервного копіювання не були вам доступні, їх суть в тому, щоб відновити інформацію, якщо з мережею і пристроями виникнуть проблеми.

3. Зміна підходів до використання інтернету і пристроїв

Описані вище зміни в апаратних і програмних компонентах важливі, але також важливий підхід до безпеки домашньої мережі.

Більшість людей налаштовують мережу і не звертають на неї уваги, поки не почнуться проблеми. Це неправильний підхід до забезпечення захисту домашніх мереж. Нижче описано, що необхідно пам’ятати.

Мережа вимагає регулярного обслуговування

Для забезпечення безпеки домашньої мережі необхідно періодично проводити базове обслуговування.

В першу чергу потрібно оновлювати прошивку маршрутизатора. Оскільки маршрутизатор знаходиться в центрі мережі, йому слід приділяти основну увагу. Якщо маршрутизатор не підтримує автоматичну установку прошивки, створіть розклад для перевірки наявності оновлень вручну. Наприклад, можна робити це щомісяця.

Наступним кроком в обслуговуванні є перевірка наявності оновлень на підключених до мережі пристроях. Необхідно оновити все, що не оновлюється автоматично. Перевіряти наявність оновлень на пристроях можна за тим же розкладом, що і на маршрутизаторі.

Хоча ви вже зробили чимало для підвищення захисту мережі, ідеальна безпека недосяжна. Можна зменшити ймовірність проблем, якщо уникати непотрібного ризику.

Встановлення програм з невідомих вам сайтів може призвести до проникнення шпигунів та інших небезпечних програм. Відвідування сайтів для дорослих або магазинів в даркнеті підвищує ризик атак на вашу домашню мережу.

Використання пристроїв невідомих виробників в мережі несе подвійну загрозу. Захист самих пристроїв може бути не дуже сильною, можлива наявність вразливостей. Крім того, на пристроях цілеспрямовано можуть бути встановлені шкідливі програми для крадіжки даних і відкриття мережі для атак.

Використовуйте пристрої відомих виробників і перевірені сайти і програмне забезпечення. Це знизить ризик проблем в мережі.

4. Додаткові апаратні заходи безпеки

Наведені вище підказки зроблять вашу домашню мережу значно більш захищеною, ніж у більшості інших людей. Якщо і цього вам мало, можна зробити ще дещо.

Відключайте wi-fi, коли не користуєтеся ним

Якщо ви залишаєте будинок надовго, можна відключити wi-fi. У такому випадку ніхто не зможе спробувати зламати його. Винятком є випадки, коли вдома залишаються пристрої з бездротовим підключенням, на зразок камер відеоспостереження.

Зменшіть площу покриття wi-fi

Можна не відключати wi-fi повністю, але все одно постаратися зробити його менш доступним для зловмисників. Сигнал wi-fi проходить через стіни будинку, але радіус дії у нього невеликий. Чим цей радіус менше, тим менше відстань, з якого сторонні можуть виявити вашу мережу.

Що саме необхідно зробити для зменшення площі покриття wi-fi:

розмістіть маршрутизатор в центрі будинку. Сигнали випускаються у всіх напрямках. Якщо поставити маршрутизатор біля вікна, половина сигналу буде йти на вулицю. Якщо розмістити його по центру квартири, покриття всередині буде найбільш якісним і зовні буде мінімум сигналу. Перейдіть на смугу частот 5 ггц. Багато сучасні маршрутизатори підтримують смуги 2,4 ггц і 5 ггц. Останній варіант гірше проходить крізь стіни. Таким чином, за межі будинку буде виходити мінімум сигналу. Крім того, на цій смузі частот вище швидкість передачі даних. Зменшіть потужність сигналу маршрутизатора. Якщо у вас невелика квартира або потужний маршрутизатор, потужність можна зменшити. В результаті покриття за межами будинку буде мінімальним. Головне, щоб вашіПристрої могли підключатися до мережі.

Вимкніть wi-fi цілком

Відключення мережі wi-fi не дозволить зламати її. Зручно вам це чи ні, залежить від того, які пристрої підключені до мережі і коли вам потрібні ці пристрої. Використання кабелів ethernet і перехідників підходить не всім, але захист з ними вище, ніж при використанні wi-fi.

Навіть якщо ви не можете обійтися зовсім без wi-fi, можна фізично розділити мережу на дві. Одна частина буде бездротовою, а інша провідний.

У цій статті не буде описуватися, як саме розділяти мережу. Скажемо лише, що маршрутизатор можна використовувати для поділу мережі на дві підмережі. В одній підмережі буде свій маршрутизатор wi-fi, в іншій провідний маршрутизатор. Пристрої з завданнями на зразок онлайн-банкінгу можна підключати до дротової мережі, а не такі важливі до wi-fi.

Контролюйте доступ через mac-адресу

У кожного пристрою з виходом в інтернеті є унікальна mac-адреса. Маршрутизатори зазвичай підключаються до будь-якого пристрою, який знає його логін і пароль. Однак, маршрутизатори можна налаштувати і так, щоб вони підключали тільки пристрої з певними mac-адресами.

Заради цієї настройки потрібно виконати деяку роботу і вона не зробить мережу повністю захищеною. У хакерів є інструменти для трансляції підроблених mac-адрес. І все ж, можна буде тримати подалі від вашої мережі занадто цікавих сусідів і інших непотрібних людей.

Встановіть на маршрутизатор vpn

Використання vpn є відмінним способом захисту пристрою. Сервіс vpn приховує ваше місце розташування і зашифровує підключення, щоб сторонні не могли бачити ваші дії в інтернеті. Vpn служить захистом для окремих пристроїв, але якщо використовувати його для захисту цілої мережі, можуть виникнути деякі проблеми. Ряд сучасних бездротових пристроїв не вміють працювати з vpn. Крім того, більшість сервісів vpn підтримують лише кілька підключень одночасно. Серед них є винятки на кшталт surfshark.

Рішенням проблеми стане vpn-маршрутизатор. Якщо можна поставити додаток vpn на маршрутизатор, він буде захищати всю мережу цілком.

Поміняйте сервери dns

Коли представники вашого провайдера встановлюють підключення, вони можуть налаштовувати маршрутизатор на використання власної служби доменних імен (dns). Dns перетворює складаються з слів адреси веб-сайтів в ip-адресу з цифр.

Провайдери хочуть, щоб ви працювали з їх службами dns, щоб записувати відвідувані вами адреси. Це допомагає їм у справі планування та маркетингу. У сша провайдери можуть продавати дані своїх користувачів про відвідування сайтів кому завгодно.

Вирішити цю проблему можна двома способами. В першу чергу змінити dns і вибрати варіант із захистом конфіденційності, на зразок opendns або cloudflare.

Найкращим рішенням є використання vpn-маршрутизатора, про що сказано в попередньому пункті. Кращі провайдери vpn на кшталт expressvpn або nordvpn забезпечують власні сервери dns з шифруванням. Це дає захист від стеження з боку провайдера і будь-яких інших сторонніх.

Висновок

У цій статті розглядається базовий план захисту домашньої мережі. Робота розділена на частини і в кожній з них описані певні кроки для посилення безпеки мережі.

Хоча завжди є до чого прагнути і посилення захисту мережі може вважатися безперервним процесом, при виконанні описаного плану у вас може бути найбезпечніша мережа в окрузі. Вона не стане невразливою, але ризик злому значно зменшиться. Якщо хакери все ж вирішать напасти на неї, у вас буде можливість ускладнити їм завдання.