Для виходу в інтернет переважна більшість користувачів домашньої мережі використовує Wi-Fi роутери. Коли мережа незахищена, її можуть використати зловмисники, вважають у Департаменті кіберполіції України. Саме тому, для захисту домашньої мережі від шахрайських дій кіберполіція склала рекомендації. Що варто знати і зробити – у рекомендаціях нижче.
1) Зміна налаштувань DNS серверу. Будь-яке доменне ім’я, наприклад, google.com.ua відповідає індивідуальній IP-адресі, тобто сайт google.com.ua відповідає IP-адресі 74.125.232.255. Якщо ввести у браузері замість сайту google.com.ua IP-адресу 74.125.232.255, завдяки DNS-серверу буде здійснено перехід на веб-сайт google.com.ua. Так, зловмнисник може змініти DNS-сервер на свій власний і налаштувати, наприклад, щоб браузер при введенні сайту google.com.ua переходив на його особисту IP-адресу. Внаслідок цього буде здійснено перехоплення веб-трафіку або зараження вашого особистого ПК, чи будь-якого пристрою, який отримує доступ до мережі з вашого роутера.
2) Наступне, що може здійснити зловмисник – це перехоплення вашої особистої інформації шляхом атаки men-in-the-middle. В такому випадку ваш веб-трафік, який за замовчуванням відправляється до Wi-Fi роутера, буде відправлений спочатку зловмиснику, а потім від нього до роутера. При цьому роутер не помітить змін. Така атака дозволяє хакеру викрасти ваші особисті дані (логіни, паролі), продивитись ваш веб-трафік – сайти, на які ви заходили.
3) Зловмисник, перебуваючи у вашій особистій Wi-Fi мережі, може здійснювати хакерські атаки (взломи сайтів, DDOS-атаки, додати ваші пристрої до бот-мережі, скачувати дитячу порнографію), тобто будь-які незаконні дії від вашого імені, оскільки Wi-Fi роутер має IP-адресу, яку вам надає ваш провайдер при сплаті інтернет-послуг: всі пристрої, підключені до вашого роутера або точки доступу в інтернет, будуть ідентифікуватись за вашою IP-адресою.
У Департаменті кіберполіції радять:
1) Приховувати назву Wi-Fi мережі. Назва мережі або SSID (Service Set Identifier), яку ми бачимо під час пошуку мережі. Назву можна відключити в розділі «Налаштування бездротових мереж» (Wireless Settings). В даному розділі є опція «Включити SSID» (Enable SSID) або «Відключити SSID» (Disable SSID). Включаємо шифрування: це налаштування також знаходиться в розділі «Налаштування бездротових мереж» (Wireless Settings) і має назву «Тип шифрування» (Encryption settings). В залежності від типу роутера або точки доступу наявні приблизно п’ять варіантів на вибір.
Чим відрізняються типи шифрування?
WEP (WIRED EQUIVALENT PRIVACY). Найслабший тип шифрування: зловмисник може отримати доступ за 15 хв – 24 год, в залежності від активності мережі. Не рекомендується для використання взагалі.
WPS / QSS WPS, він же QSS – дозволяє клієнту підключитися до точки доступу за допомогою 8-символьного коду, що складається з цифр. Департамент кіберполіції рекомендує відключити дану опцію.
WPA і WPA2 (WI-FI PROTECTED ACCESS) – підтримують два режими початкової аутентифікації (перевірка паролю доступу клієнта до мережі) – PSK і Enterprise. WPA-PSK та WPA2-PSK – це найпоширеніший варіант шифрування для домашніх Wi-Fi мереж. Підключення до мережі здійснюється за паролем, який вводиться під час підключення. Різниця в типі шифрування: WPA-PSK – тип шифрування TKIP, WPA2-PSK–AES – посилений тип шифрування. WPA Enterprise відрізняється від WPA-PSK тим, що для його використання необхідно налаштувати сервер – RADIUS (Remote Authentication Dial In User Service). Сервер RADIUS – це служба віддаленої аутентифікації користувачів, яка перевіряє облікові дані користувача для доступу до мережі.
2) Фільтр MAC адрес. Ще один спосіб захистити домашню Wi-Fi мережу – це фільтрація пристроїв за MAC-адресою. MAC-адреса – це унікальний номер мережевої Ethernet або Wi-Fi карти. У налаштуваннях роутера необхідно додати MAC-адреси тих пристроїв, які будуть підключатись до вашого роутеру або точки доступу. Користувачі із відмінними MAC-адресами від тих, що зазначені у налаштування, не будуть з’єднані з роутером або точкою доступу, навіть, якщо будуть вводити правильний пароль доступу. Як правило, ця функція називається «Фільтрація MAC-адрес» (MAC Filtering). У операційних системах MS-Windows MAC адресу можна подивитись за допомогою комбінації клавіш Windows+r та при введені команди cmd, внаслідок чого відкриється командний рядок Windows. Після – треба ввести ipconfig /all, далі – знайти рядок «Бездротове мережеве з’єднання» (Wireless network connection) та скопіювати значення «Фізична адреса» (Physical address) – це і є MAC-адреса. У системах типу Unix необхідно ввести команду ifconfig.
3) Відключаємо доступ до адміністрування роутера. Найчастіше Wi-Fi роутери підтримують функцію віддаленого адміністрування. Для більшості користувачів немає необхідності у віддаленому налаштуваннs Wi-Fi, однак? залишивши цю функцію, ви створюєте додаткову точку доступу, якою може скористатися зловмисник, щоб отримати доступ до вашої Wi-Fi мережі. Департамент кіберполіції радить під час налаштування особистої Wi-Fi мережі не використовувати налаштування за замовчуванням.
