Сетевые принтеры, камеры, маршрутизаторы и другие аппаратные устройства некоторых людей доступны из Интернета. Существуют даже поисковые системы, предназначенные для поиска таких уязвимых устройств. Если ваши устройства безопасны, вам не нужно беспокоиться об этом.
Следуйте этому руководству, чтобы убедиться, что ваши сетевые устройства должным образом изолированы от Интернета. Если вы все настроите правильно, люди не смогут найти ваши устройства, выполнив поиск в Shodan.
Защитите свой роутер
В обычной домашней сети (при условии, что у вас нет других устройств, подключенных непосредственно к вашему модему), ваш маршрутизатор должен быть единственным устройством, подключенным напрямую к Интернету. Если ваш маршрутизатор настроен правильно, это будет единственное устройство, доступное из Интернета. Все остальные устройства подключены к вашему маршрутизатору или его сети Wi-Fi и доступны только в том случае, если маршрутизатор позволяет им это делать.
Перво-наперво: убедитесь, что ваш маршрутизатор защищен. Многие маршрутизаторы имеют функции «удаленного администрирования» или «удаленного управления», которые позволяют войти в маршрутизатор из Интернета и настроить его параметры. Подавляющее большинство людей никогда не будут использовать такую функцию, поэтому вы должны убедиться, что она отключена – если у вас включена эта функция и у вас слабый пароль, злоумышленник может удаленно войти в ваш маршрутизатор. Вы найдете эту опцию в веб-интерфейсе вашего маршрутизатора, если ваш маршрутизатор предлагает его. Если вам необходимо удаленное управление, убедитесь, что вы изменили пароль по умолчанию и, если возможно, имя пользователя.
Многие потребительские маршрутизаторы имеют серьезную уязвимость безопасности. UPnP – это небезопасный протокол, который позволяет устройствам в локальной сети перенаправлять порты – путем создания правил брандмауэра – на маршрутизаторе. Однако ранее мы рассмотрели общую проблему безопасности с UPnP – некоторые маршрутизаторы также будут принимать запросы UPnP из Интернета, что позволяет любому пользователю в Интернете создавать правила брандмауэра на вашем маршрутизаторе.
Проверьте, уязвим ли ваш маршрутизатор к этой уязвимости UPnP, посетив ShieldsUP! веб-сайт и работает «Мгновенный тест экспозиции UPnP».
Если ваш маршрутизатор уязвим, вы можете решить эту проблему, обновив его последней версией прошивки, доступной от его производителя. Если это не работает, вы можете попробовать отключить UPnP в интерфейсе маршрутизатора или приобрести новый маршрутизатор, у которого нет этой проблемы. Обязательно повторно запустите вышеуказанный тест после обновления прошивки или отключения UPnP, чтобы убедиться, что ваш маршрутизатор действительно защищен.
Убедитесь, что другие устройства не доступны
Убедиться, что ваши принтеры, камеры и другие устройства не доступны через Интернет, довольно просто. Предполагая, что эти устройства находятся за маршрутизатором и не подключены напрямую к Интернету, вы можете контролировать, доступны ли они через маршрутизатор. Если вы не перенаправляете порты на сетевые устройства или не размещаете их в демилитаризованной зоне, которая полностью открывает доступ к Интернету, эти устройства будут доступны только из локальной сети.
Вам также следует убедиться, что функции переадресации портов и DMZ не открывают доступ к Интернету для ваших компьютеров или сетевых устройств. Переадресовываются только те переадресованные порты, которые вам действительно нужны, и уклоняются от функции DMZ – компьютер или устройство в DMZ будет принимать весь входящий трафик, как если бы он был подключен непосредственно к Интернету. Это быстрый способ избежать переадресации портов, но устройство DMZ также теряет преимущества безопасности, связанные с нахождением за маршрутизатором.
Если вы хотите, чтобы ваши устройства были доступны в Интернете – возможно, вы хотите удаленно войти в интерфейс сетевой камеры безопасности и посмотреть, что происходит в вашем доме – вам следует убедиться, что они настроены безопасно. После переадресации портов с вашего маршрутизатора и обеспечения доступа к устройствам из Интернета убедитесь, что они настроены с надежным паролем, который нелегко угадать. Это может показаться очевидным, но количество подключенных к Интернету принтеров и камер, которые были выставлены в Интернете, показывает, что многие люди не защищают свои устройства паролем.
Вы также можете не показывать такие устройства в Интернете и вместо этого настраивать VPN. Вместо того, чтобы напрямую подключать устройства к Интернету, они подключаются к локальной сети, и вы можете удаленно подключаться к локальной сети, войдя в VPN. Вы можете защитить один VPN-сервер легче, чем несколько разных устройств с их собственными встроенными веб-серверами.
Вы также можете попробовать более креативные решения.Если вам нужно только удаленно подключиться к вашим устройствам из одного места, вы можете настроить правила брандмауэра на вашем маршрутизаторе, чтобы обеспечить доступ к ним только с одного IP-адреса. Если вы хотите обмениваться устройствами, такими как принтеры, в Интернете, вы можете попытаться настроить что-то вроде Google Cloud Print, а не показывать их напрямую.
Не забывайте регулярно обновлять свои устройства, включая обновления для системы безопасности, особенно если они напрямую подключены к Интернету.
Блокировка вашего Wi-Fi
Пока вы это делаете, обязательно заблокируйте свои сети Wi-Fi. Новые подключенные к сети устройства – от потокового устройства Google Chromecast TV до лампочек с поддержкой Wi-Fi и всего, что между ними – обычно рассматривают вашу сеть Wi-Fi как безопасную зону. Они позволяют любому устройству на вашем Wi-Fi получать доступ, использовать и настраивать их. Они делают это по очевидной причине – удобнее обращаться со всеми устройствами в сети как с доверенными, чем с запросом аутентификации у себя дома. Однако это работает только в том случае, если локальная сеть Wi-Fi действительно безопасна. Если ваш Wi-Fi не защищен, любой может подключить и взломать ваши устройства. Они также могут просматривать любые файлы, которыми вы поделились в сети.
Убедитесь, что на домашнем маршрутизаторе включены параметры безопасного шифрования Wi-Fi. Вы должны использовать шифрование WPA2 с довольно сильной парольной фразой – в идеале – достаточно длинная парольная фраза с цифрами и символами в дополнение к буквам.
Существует множество других способов защиты домашней сети – от использования WEP-шифрования до включения фильтрации MAC-адресов и скрытия беспроводной сети – но они не обеспечивают достаточной безопасности. Шифрование WPA2 с надежной парольной фразой – это путь.
Когда все сводится к этому, это стандартные меры безопасности. Вам просто нужно убедиться, что на ваших устройствах установлены последние обновления для системы безопасности, они защищены надежными паролями и настроены надежно.
Обратите особое внимание на работу сети – маршрутизатор не должен быть настроен на выставление устройств в Интернете, если они не настроены надежно. Даже в этом случае вы можете захотеть подключиться к ним удаленно через VPN для дополнительной безопасности или убедиться, что они доступны только с определенных IP-адресов.
