How to Set Up a Secure Home Network

Домашняя сеть – это группа подключенных к интернету и друг к другу устройств: компьютеров, игровых систем, принтеров, смартфонов, планшетов и носимых устройств.

Устройства можно объединить в домашнюю сеть двумя способами:

1. Проводная сеть – используется для подключения принтеров и сканеров.
2. Беспроводная сеть – соединяет устройства без проводов, например планшеты и мобильные телефоны.

Защищенная домашняя сеть – это важный аспект интернет-безопасности. Злоумышленники могут использовать уязвимые сети для совершения киберпреступлений: установки вредоносных программ, кражи информации и личных данных, создания ботнетов. В этом руководстве описаны основные действия по защите домашней сети. Они помогут вам и вашей семье безопасно пользоваться интернетом.

Как изменить имя используемой по умолчанию домашней сети

Первым шагом в обеспечении безопасности домашней сети является изменение ее имени. Имя сети представляет собой идентификатор SSID – Service Set Identifier (идентификатор набора служб). Если открыть список сетей Wi-Fi на ноутбуке или смартфоне, отобразится список идентификаторов SSID ближайших устройств. Роутеры транслируют идентификаторы SSID, чтобы находящиеся поблизости устройства могли обнаруживать доступные сети.

Идентификаторы SSID имеют длину до 32 символов. Обычно производители задают используемые по умолчанию идентификаторы SSID, состоящие из названия компании и случайного набора цифр и букв. Заданное по умолчанию значение идентификатора SSID рекомендуется изменить по следующим причинам:

• Если злоумышленники узнают производителя вашего роутера, они смогут выяснить уязвимости модели и способы их эксплуатации.
• Отличное от используемого по умолчанию имя роутера может отпугнуть сетевых злоумышленников, поскольку показывает, что роутер управляется более строго, чем если бы для него использовалось заданное по умолчанию имя.

Измените идентификатор SSID так, чтобы в нем не была указана марка или модель роутера. Избегайте использования в идентификаторах личной информации, например, имени, адреса или номера телефона. В качестве идентификатора SSID рекомендуется использовать простое имя, не привлекающее внимание злоумышленников, сканирующих сети Wi-Fi в вашем районе.

Используйте надежный пароль для роутера

Беспроводные роутеры обычно поставляются с предварительно установленными паролями. Злоумышленники могут подбирать такие пароли, особенно если им известен производитель роутера, поэтому изменение пароля поможет обеспечить безопасность домашнего роутера. Обычно это делается путем подключения к интерфейсу управления роутера через браузер. В качестве адреса используется заданный по умолчанию IP-адрес роутера, указанный на наклейке на его нижней стороне или в руководстве по настройке.

Надежный пароль состоит минимум из 12 символов, в идеале – больше, и содержит сочетание заглавных и строчных букв, цифр и специальных символов. Для безопасности домашней сети рекомендуется регулярно менять пароль, приблизительно каждые шесть месяцев.

Усильте шифрование сети Wi-Fi

Шифрование – важный аспект при настройке защищенного Wi-Fi. Большинство беспроводных роутеров имеют функцию шифрования, которая часто отключена по умолчанию. Включение шифрования для домашнего роутера поможет обеспечить защиту сети. Существует четыре типа систем безопасности Wi-Fi, используемые для защиты передаваемых данных, так что только устройство пользователя и Wi-Fi роутер могут прочитать передаваемую информацию.

Возможные варианты:

• Wired Equivalent Privacy (протокол WEP)
• Wi-Fi Protected Access (протокол WPA)
• Wi-Fi Protected Access 2 (протокол WPA2)
• Wi-Fi Protected Access 3 (протокол WPA3)

Протоколы WPA2 и WPA3 – оптимальные варианты для защиты Wi-Fi, они новее и являются более надежными. Предыдущие версии WPA и WEP уязвимы для атак методом подбора пароля.

Если позволяет роутер, рекомендуется создать гостевую беспроводную сеть, также использующую протоколы WPA2 или WPA3 и защищенную надежным паролем. Используйте эту гостевую сеть для посетителей. Друзья и родственники, скорее всего, не будут взламывать вашу сеть, однако до подключения к вашей сети их устройства могли быть скомпрометированы или заражены вредоносными программами. Использование гостевой сети помогает повысить безопасность домашней сети.

Используйте VPN для дополнительной безопасности

Виртуальные частные сети или VPN в основном используются для повышения конфиденциальности в интернете. VPN шифруют данные, чтобы злоумышленники не моли отслеживать действия пользователей в интернете или их физическое местонахождение. Данные, защищенные с помощью VPN, проходят через роутер, поэтому даже в случае ослабления шифрования со стороны роутера, защита данных будет обеспечиваться шифрованием VPN.

VPN также может помочь для защиты IP-адреса. VPN меняет IP-адрес и он отображается так, как если бы устройство использовалось из другого местоположения. VPN можно использовать на компьютерах, ноутбуках, телефонах и планшетах.

Регулярно обновляйте прошивку роутера

Для обеспечения надлежащего уровня кибербезопасности рекомендуется регулярно обновлять программное обеспечение, включая прошивку роутера. Предыдущие версии прошивки имеют уязвимости, которыми могут воспользоваться злоумышленники. Некоторые роутеры позволяют проверять, доступны ли обновления прошивки, через интерфейс управления, другие предлагают автоматические обновления. Можно также посетить веб-сайт технической поддержки производителя роутера, чтобы выяснить, доступны ли обновления для вашей модели.

Иногда причиной обновления прошивки являются новости о серьезных вирусных атаках: при получении информация о серьезных атаках производители роутеров обычно пересматривают коды своих прошивок на предмет уязвимостей для новых атак. При обнаружении уязвимостей производители выпускают патчи, поэтому необходимо оставаться в курсе обновлений.

Используйте сетевой экран для защиты устройств в сети

Домашний сетевой экран защищает устройства, подключенные к домашней сети, от злоумышленников в интернете. Он работает как односторонний цифровой барьер, блокируя доступ к сети для устройств из интернета, и одновременно позволяя устройствам в сети подключаться к устройствам в интернете.

Большинство роутеров поставляются с включенным сетевым экраном. Проверьте, включен ли сетевой экран вашего роутера. Если у вашего роутера нет сетевого экрана, можно установить в системе надежный домашний сетевой экран, чтобы предотвратить атаки на роутер.

По возможности измените IP-адрес роутера

Злоумышленники могут с легкостью определить IP-адрес роутера, заданный по умолчанию. Иногда его даже можно найти в интернете. Для дополнительной защиты от атак на роутер можно изменить его адрес.

Войдите в консоль администрирования роутера и найдите раздел сетевых настроек или LAN/DHCP. Измените и сохраните свой IP-адрес, а также запишите его.

Достаточно просто изменить несколько цифр. После изменения используйте новый адрес для доступа к параметрам роутера. Если потребуется использовать исходный IP-адрес, можно восстановить заводские настройки роутера.

Настройте отдельную сеть для устройств интернета вещей

Интернет вещей относится к физическим устройствам, отличным от компьютеров, телефонов и серверов, которые подключаются к интернету, собирают и обмениваются данными. Примеры таких устройств – фитнес-трекеры, умные холодильники, умные часы и голосовые помощники, такие как Amazon Echo и Google Home.

Интернет вещей влияет на кибербезопасность:

• Чем больше устройств подключено к интернету, тем больше потенциальных точек входа в сеть для злоумышленников.
• Не все устройства интернета вещей имеют хорошую репутацию в области безопасности.

Чтобы увеличить безопасность роутера и избежать атак на него, можно настроить отдельную сеть Wi-Fi для устройств интернета вещей. Такая сеть называется VLAN – виртуальная локальная сеть. VLAN гарантирует, что самые ценные устройства – компьютеры и телефоны, содержащие конфиденциальные данные, находятся в одной сети, а менее защищенные устройства интернета вещей – в другой. Это устраняет риск того, что слабо защищенные устройства интернета вещей станут потенциальными точками входа для злоумышленников, желающих взломать ваши компьютеры и телефоны.

Использование VLAN не ограничивает функции устройств, поскольку большинство устройств интернета вещей управляются через приложения для смартфонов, подключенные к облачным службам, и, если у них есть доступ в интернет, после первоначальной настройки им не требуется связываться с мобильными телефонами и компьютерами напрямую по локальной сети.

Отключите Universal Plug and Play

Universal Plug and Play (UPnP) – это набор протоколов, который помогает устройствам обнаруживать домашнюю сеть, а также связываться с производителем для получения обновлений прошивки и материалов. UPnP – важнейший элемент интернета вещей, но, к сожалению, это также канал, который злоумышленники могут использовать для заражения устройств и добавления их в ботнеты. Кроме того, UPnP может использоваться вредоносными программами для получения высокоуровневого доступа к настройкам безопасности роутера.

Роутер взаимодействует с системой UPnP, чтобы домашние устройства получали доступ в интернет. Поскольку многие устройства не защищены паролем или один и тот же пароль используется для всех устройств, в системе безопасности возникает уязвимость.

UPnP помогает выполнить настройку устройства, однако как только устройство заработает, рекомендуется отключить на нем функции UPnP, а на роутере – совместимость с UPnP.

Отключите удаленный доступ для защиты сети от злоумышленников

Многие роутеры оснащены функциями, упрощающими удаленный доступ извне домашней сети. Однако, если вам не нужен доступ к роутеру на уровне администратора, можно спокойно отключить эти функции на панели настроек роутера. При этом снижается риск удаленного доступа и взлома роутера со стороны злоумышленников.

Для отключения этой функции в веб-интерфейсе роутера найдите «Удаленный доступ», «Удаленное администрирование» или «Удаленное управление», и проверьте, отключена ли эта функция. На многих роутерах она отключена по умолчанию.

Если выяснится, что для отдельных приложений и устройств в вашей сети требуется удаленный доступ, эту функцию всегда можно включить повторно.

Используйте фильтрацию MAC-адресов, чтобы не допустить в сеть нежелательные устройства

Многие роутеры позволяют ограничивать набор разрешенных в сетях Wi-Fi устройств на основе MAC-адреса. Аббревиатура MAC означает «контроллер доступа к среде» (media access controller), а MAC-адрес используется для идентификации устройств в сети. Фильтрация MAC-адресов может помешать злоумышленникам подключиться к сети Wi-Fi, даже если им известен ее пароль.

Консоль роутера содержит пункт меню «Фильтрация MAC-адресов». Каждое устройство, которое может подключиться к сети, имеет уникальный MAC-адрес. Необходимо найти адрес каждого устройства, которому будет разрешен доступ к вашей сети, а затем указать эти адреса в настройках роутера и включить фильтрацию MAC-адресов.

Однако опытные злоумышленники умеют подделывать MAC-адреса и могут воспользоваться этой возможностью. Для взлома злоумышленникам необходимо узнать один из адресов сети, что не составляет труда для тех, кто имеет опыт прослушивания сети. Тем не менее, фильтрация MAC-адресов не позволяет злоумышленникам среднего уровня получить доступ к сети и обеспечивает еще один уровень защиты и безопасности роутера.

Подумайте, где разместить роутер

По возможности размещайте роутер в центре дома. Это не только поможет сделать доступ к сети более равномерным, но снизит уровень доступности сети для злоумышленников. По возможности рекомендуется размещать роутеры подальше от окон и наружных дверей.

Роутеры распространяют излучение сверху и снизу, а также в горизонтальном направлении. Если у вас двухэтажный дом, размещение роутера на верхней полке нижнего этажа обеспечит покрытие как верхнего, так и нижнего этажа.

Отключайте сеть, когда никого нет дома

Один из самых простых способов защитить домашнюю сеть – отключить ее, когда никого нет дома. Отключение Wi-Fi на время отсутствия снижает вероятность проникновения злоумышленников в вашу домашнюю сеть, когда вас нет дома.

Помимо снижения рисков безопасности, отключение роутера от сети на период вашего отсутствия также предотвращает его повреждение из-за скачков напряжения.

Следите за работоспособностью устройств

Компьютеры и другие устройства в домашней сети являются потенциальными точками входа злоумышленников на ваш роутер. Многие устройства, подключенные к вашей сети, являются портативными: ноутбуки, планшеты и смартфоны, а вероятность заражения портативных устройств выше, поскольку они подключаются к другим сетям и возможно используют общедоступные сети Wi-Fi. В результате повышается риск заражения вирусами и попыток взлома извне вашей домашней сети. Устройства, которые никогда не покидает домашнюю сеть, работают только с одной точкой доступа в интернет, что снижает вероятность их заражения. Для обеспечения безопасности домашнего роутера рекомендуется соблюдать следующие правила кибербезопасности:

• Регулярно обновляйте программное обеспечение, включите автоматические обновления. Патчи и новые выпуски операционных систем и приложений часто используются для устранения уязвимостей в системе безопасности.
• Используйте для защиты устройств длинные пароли, которые сложно подобрать. Не используйте один пароль для нескольких устройств. Для этого может быть полезен менеджер паролей.
• Убедитесь, что устройства защищены комплексным антивирусным программным обеспечением. Например, Kaspersky Total Security обеспечивает защиту устройств от злоумышленников, вирусов и вредоносных программ.

Выполнив перечисленные выше шаги, вы сможете максимально повысить безопасность беспроводной сети. Это обеспечит вам дополнительную уверенность при использовании домашнего интернета.

Статьи по теме:

• Вы уверены, что ваш умный дом безопасен?
• Не шпионит ли за вами умный телевизор?
• Умные часы: угрозы безопасности
• Видеоконференции: как защититься от злоумышленников