Все разработчики антивирусов сходятся в одном: IoT-уст­ройства, такие как IP-камеры и Smart-системы отопления, представляют собой серьезную угрозу безопасности, поскольку большинство из них поставляется без какой-либо защиты от хакерских атак. Даже такая крупная компания, как Philips, постоянно обнаруживает уязвимости в своей умной системе освещения Hue.

Причина этого общего недостатка заключается в том, что пока не существует консенсуса по вопросу, как обезопасить такие устройства, поскольку ни на одном из IoT-компонентов не работает ни один антивирус. Одним из вариантов защиты оборудования могло бы стать построение дорогостоящей профессиональной сети, как это происходит в бизнес-среде.

Для обычного пользователя это решение не подходит, однако CHIP вам поможет: в данной статье мы расскажем, как с помощью стандартных роутеров настроить виртуальные беспроводные сети с усиленной защитой, которые не пропустят ни единого хакера. Даже пользователи моделей от Keenetic с помощью правильной конфигурации сделают свои умные устройства неуязвимыми.

Кроме того, мы продемонстрируем, как использовать профессиональные сервисы, чтобы провести пробную хакерскую атаку на свой маршрутизатор.

Миллиарды потенциальных целей атак

За три года число потребительских IoT-устройств выросло почти до 13 миллиардов – большинство из них, по мнению экспертов, уязвимо

Как организовать надежную защиту домашнего роутера

Успешные атаки на интерфейсы между домашней сетью и Интернетом всегда оправдывают вложенные усилия: злоумышленники получают возможность перенаправлять веб-трафик целиком. Укрепление защиты следует начинать с роутера.

Активация настроек безопасности устройства

Бытует мнение, что злоумышленник может использовать настройки роутера по умолчанию и, введя заводской пароль, сможет перенастроить устройство. Однако это возможно лишь в том случае, если преступник находится внутри вашей домашней Wi-Fi-сети — что маловероятно, если только вы сами не дали ему пароль от нее.

Даже если для взлома в ход будут пущены хакерские инструменты, например Hydra, надежной защитой от проникновения в настройки маршрутизатора станет установка для него личного пароля.

Обычно при первом запуске программы настройки роутера пользователю предлагается задать свой пароль к устройству (заводской указан на нижней части корпуса). Но если его необходимо сменить, в браузере откройте страницу настроек роутера (у Keenetic это my.keenetic.net).

Кроме того, вы можете зайти в настройки, указав IP-адрес своего маршрутизатора. Чтобы его узнать, в Windows нажатием на клавиши «Win+R» откройте командную строку и введите в ней команду «cmd». Затем выполните «ipconfig/all». В разделе «Основной шлюз» вы найдете искомый IP-адрес. Теперь откройте свой браузер и в адресной строке введите этот IP. После того как вы войдете в веб-интерфейс роутера, перейдите к его системным настройкам.

Для Keenetic вы найдете их разделе «Дополнительные параметры | Пользователи». Здесь нажмите на учетную запись «Admin» и задайте новый пароль в двух ячейках. В настоящее время большинство устройств оснащены защитой от атак методом перебора, но мы все равно рекомендуем указать слово минимум из 15 символов.

Маскировки имен Wi-Fi и шифрование сети

На следующем этапе займемся паролем к беспроводной сети. Существуют программы для перебора, позволяющие взломать и этот код — если, конечно, он слишком короткий. Этот код в Keenetic меняется через «Сеть Wi-Fi | Точка доступа 2,4 ГГц» в поле «Ключ сети».

Убедитесь, что в качестве метода шифрования используется WPA2-AES или WPA2 (CCMP). Это можно увидеть непосредственно под полем пароля.
Среди типовых советов защиты домашней Wi-Fi-сети можно найти рекомендацию скрыть ее имя в настройках ­роутера.

Однако, как утверждают специалисты, выполнение этого совета не только не остановит взломщиков, которые с помощью специальных программ видят все активные беспроводные сети, но и затруднит вам подключение к своей сети новых устройств.

Совет скрыть сетевое имя (SSID) убережет вас только от неопытных взломщиков и добавит неудобства вам самим

Впрочем, если вас эти факторы не смущают, можете на всякий случай все же замаскировать свое имя беспроводной сети (SSID) и отключить его передачу в настройках роутера. В настройках Keenetic перейдите в раздел «Сеть Wi-Fi | Точка доступа 2,4 ГГц» и в поле «Скрыть SSID» поставьте галочку.

Также обязательно задайте другое имя сети, чтобы злоумышленники по стандартному имени не могли распознать, о каком устройстве идет речь, и не использовали стандартные бреши в безопасности. Однако отметим, что специальные прог­раммы мгновенно распознают оборудование, и это преступников вряд ли остановит.

Отключение функций роутера

При желании современные маршрутизаторы можно сконфигурировать под доступ из любой точки земного шара. Недостаток: наличие возможных багов в прошивках устройств позволяет проникнуть в вашу домашнюю сеть и хакерам. Мы рекомендуем отключить дистанционный доступ, если он вами не используется. В устройствах Keenetic для этого нужно зайти в меню «Система | Режим». Здесь укажите, в каком режиме будет работать ваш роутер. Сохраните изменения нажатием на «Применить».

Имейте в виду, что даже некоторые устройства умного дома могут контролироваться дистанционно. К примеру, владельцам Philips Hue необходимо отключить удаленный доступ к Сети. Для этого нужно зайти на сайт my.meethue.com. После того как вы обезопасили все подступы к устройствам из Сети, следует заняться защитой от атак из ближайшего окружения.

Закрываем доступ в Wi-Fi посторонним устройствам

На случай, если хакеры все-таки получат доступ к вашему паролю к беспроводной сети через уязвимости (вряд ли им это удастся сделать путем перебора), стоит защитить себя с помощью функции разрешения доступа только зарегистрированных устройств.

Ограничение доступа. Разрешите доступ в сеть только зарегистрированным устройствам. Новые клиенты будут автоматически блокироваться роутером

Владельцы Keenetic могут активировать эту возможность в меню «Домашняя сеть | Устройства», выбрав опцию «Запретить доступ к Интернету всем незарегистрированным устройствам». После нажатия на кнопку «Применить» доступ к роутеру будет только у подключенных на текущий момент устройств.

Внимание: если вы не можете одно­значно охарактеризовать какое-либо устройство из списка над данной опцией как легитимное, удалите его из списка. Для добавления нового устройства необходимо нажать на «Добавить устройство».

Как защититься от хакерских атак с помощью сегментирования домашней сети

Лучшей защитой от хакерских атак и манипуляций с умными устройствами является «расщепление» Wi-Fi на различные, полностью независимые друг от друга беспроводные сети.

Использование собственных средств в роутере Keenetic

С помощью Keenetic вы сможете организовать только гостевую и главную сеть, однако использование отдельных профилей позволит создать больше сегментов. Для этого сначала создайте новый сегмент, к которому будет подключаться IoT-устройство и где не будет доступа к Интернету, а будет лишь во внутреннюю сеть (к примеру, для умных розеток).

Отключение удаленного доступа. Для IoT-устройств, таких как Philips Hue, отключите удаленный доступ через Интернет с вашего смартфона к Hue Bridge

Еще одной опцией может стать сегмент для оборудования, которому дозволяется заходить только в Интернет, но не в локальную сеть (в том числе для сетевой кухонной техники Thermomix от Vorwerk).

Для создания нового сегмента необходимо в интерфейсе роутера зайти в меню «Домашняя сеть» на вкладке «Сегменты» нажмите «Добавить сегмент». Далее можно установить для него настройки — например, разрешить или запретить устройству выход в Сеть.

Своя политика доступа для каждого устройства. Владельцы Keenetic могут создать профили доступа (1). Они поз­воляют регулировать доступ к Интернету для каждого отдельного устройства (2). Эту защиту хакерам обойти непросто

Затем нужно будет прописать в этом сегменте клиентов, которым вы планируете выдать лишь доступ в Интернет, либо создается отдельный профиль, либо настраивается гостевой Wi-Fi. Кроме того, на вкладке «Устройства» можно разрешить или запретить конкретному девайсу доступ в Интернет.

Построение виртуальной сети

Бюджетная защита от атак. TP-Link TL WR940N — один из самых недорогих роутеров с прошивкой DD-WRT, которая позволяет вносить глубокие изменения в сетевые настройки

На примере роутера TP-Link TL WR940N мы покажем, как управлять подключенными устройствами через профили. Через меню «Wireless | Virtual Interfaces» нажатием на кнопку «Add» добавьте новую виртуальную сеть (VLAN). Если вы хотите, чтобы устройства заходили в Интернет, но не взаимодействовали друг с другом через локальную сеть, задействуйте опцию «AP Isolation» для соответствующей VLAN.

Прошивка DD-WRT позволяет полностью отключить группы устройств от Интернета, ограничив их доступом только в локальную сеть

Веб-доступ для отдельных клиентов настраивается через меню «Access Restrictions | Access Policy». Не забывайте каждый раз сохранять изменения нажатием на клавишу «Save», а для активации конфигурации щелкните по «Apply Setting» — необходимая перезагрузка компьютера последует автоматически.

Отдельный Wi-Fi для умных устройств. Кнопкой «Add» в прошивке DD-WRT можно создать виртуальную беспроводную сеть (1), чтобы затем запретить устройствам взаимодействие между собой (2), разрешив только доступ в Интернет

Имитация хакерских атак

Прежде чем хакеры предпримут атаку на ваш компьютер, попробуйте сначала сами выяснить, где находится уязвимое мест­о вашей сети, чтобы им не смогли воспользоваться для проникновения. Таким образом, для защиты сначала придется обмануть систему.

В Интернете можно найти заслуживающие ­доверия сервисы, бесплатно проводящие тестирование на проникновение. В дополнение к этому необходимо заранее изучить сайты CERT (Computer Emergency Response Team, cert.org) Федерального управления по информационной безопасности на предмет известных уязвимостей в ваших устройствах.

Обнаружение открытых портов с помощью специальных онлайн-сервисов
Один из сервисов тестирования на проникновение предлагает американский поставщик IT-услуг Gibson Research Corporation. Для запуска проверки зайдите на сайт www.grc.com, из меню «Services» выберите пункт «ShieldsUP», а затем нажмите на «Proceed».

Поиск багов. Нажатием на «ShieldsUP» (1) вы проверите свою сеть на наличие открытых портов. Для получения справки об известных багах стоит посетить веб-сайты CERT (2)

По завершению теста вы увидите в окне все открытые порты вашей сети. Чтобы выяснить, какие именно устройства за ними скрываются, забейте в Google номер порта. Как правило, эти результаты уже могут указать на винов­ника. Для ограничения зоны поиска добавьте к номеру порта название вашего умного оборудования.

После вычисления соответствующего устройства вы можете ограничить ему выход в Интернет. Пользователям роутеров Keenetic для этой цели, к примеру, доступны сегменты (см. выше «Сегментирование сетей») или список разрешенных устройств. Кроме того, проверьте на сайтах CERT, не входит ли это устройство в список небезопасных.

Правительственный список уязвимостей

Даже крупные разработчики не всегда способны вовремя подготовить обновление, чтобы закрыть брешь в безопасности. К примеру, так произошло с уязвимостью Kracks в WPA2 у Android. Еще хуже ситуация обстоит с мелкими производителями — зачастую до потребителей информация о критичес­ком баге вообще не доводится.

Чтобы все-таки выяснить, нет ли в ваших устройствах незакрытых брешей, воспользуйтесь сайтами CERT из США (www.us-cert.gov) и России (www.cert.ru/ru/about.shtml). Здесь вы узнаете о современных угрозах программному и аппаратному обеспечению, а также найдете классификацию уязвимостей по их тяжести. Если патч до сих пор недоступен, имейте в виду следующее: некоторые проблемы можно локализовать, к примеру, ограничением доступа в Интернет (см. выше — «Сегментирование сетей»).

В случае, если это невозможно, рекомендуем до выхода патча исключить устройство из локальной сети. Регулярно проверяйте сайт производителя на предмет появления новых прошивок (в роутерах Keenetic информация о доступности новой прошивке отображается в разделе «Обновления»).

Если вы будете следовать советам из этой статьи, хакерам крайне сложно будет проникнуть в вашу сеть и перехватить контроль за компонентами умного дома. Правильная конфигурация в большинстве случаев позволяет организовать защиту уже сейчас, пока нет специализированных антивирусов для таких устройств. Ведь, судя по заявлениям разработчиков, эта проблема в ближайшее время не решится.