Безопасность интернет-центра Keenetic

В интернет-центрах Keenetic по умолчанию работают встроенный межсетевой экран (Firewall) с контролем соединений и защитой от атак и механизм трансляции сетевых адресов (NAT). Они запрещают входящие подключения из Интернета или со стороны WAN-интерфейса к устройствам домашней сети. Это позволяет скрыть и защитить устройства вашей сети от пользователей Интернета и угроз извне. Помимо этого по умолчанию доступ из Интернета к управлению интернет-центром (к его веб-конфигуратору) заблокирован. Это реализовано с целью безопасности интернет-центра, локальной сети и защиты от несанкционированного доступа. Что касается безопасности информации в сети Wi-Fi, то по умолчанию беспроводная сеть интернет-центра защищена по стандарту безопасности IEEE 802.11i (WPA2 AES). К такой сети невозможно подключиться и понять передаваемую в ней информацию, не зная её пароль (ключ безопасности).

NOTE: Важно! С заводскими установками интернет-центр полностью защищен от атак и угроз извне, и не требует дополнительных настроек, кроме создания сложного* пароля администратора интернет-центра. Работа служб интернет-центра архитектурно не подразумевает каких-либо постоянно открытых портов и бэкдоров, которыми могут воспользоваться злоумышленники.
Для обеспечения безопасности интернет-центра Keenetic рекомендуем регулярно проверять обновления и своевременно их устанавливать. Рекомендуем пользоваться функцией  автоматического обновления операционной системы (включена по умолчанию). В этом случае на вашем устройстве будет установлена самая последняя версия операционной системы KeeneticOS и вам не придется тратить время на обновление.
Сохраняйте информационную безопасность — не сообщайте пароль администратора интернет-центра незнакомым людям.

* — Сложным (сильным) является пароль, который трудно угадать и долго подбирать методом полного перебора.

Однако пользователь, выполняя дополнительные настройки интернет-центра, может самостоятельно создать уязвимость (дыру) в системе безопасности. Особенно это касается настройки правил межсетевого экрана, переадресации (проброса) портов, удаленного подключения к интернет-центру, доступа к ресурсам домашней сети и настройки беспроводной / гостевой сети Wi-Fi.

Теоретически, потенциальный злоумышленник может получить доступ к интернет-центру удаленно (со стороны внешнего WAN-интерфейса, например из Интернета, или из сети провайдера) или локально (например, со стороны сети Wi-Fi интернет-центра). О недоступности устройства для посторонних лиц должен позаботиться сам пользователь.

Если у вас используется частный "серый" IP-адрес для доступа в Интернет, то беспокоится о дополнительной защите роутера от атак из Интернета не нужно. С "серым" IP-адресом роутер недоступен из Интернета для прямых обращений к нему, и к тому же по умолчанию доступ извне запрещён межсетевым экраном и механизмом трансляции сетевых адресов (NAT). Достаточно установить сложный пароль учетной записи администратора (admin) интернет-центра.

При использовании публичного "белого" IP-адреса следует использовать дополнительные правила безопасности, т.к. в этом случае роутер становится виден в Интернете и соответственно возможны различные угрозы и атаки на него.

Инструменты дополнительной защиты:

  • Установите сложный пароль учетной записи администратора (admin) интернет-центра;
  • Используйте сложный пароль для подключения к вашей сети Wi-Fi. В интернет-центре по умолчанию предустановлен сильный пароль, который трудно угадать и долго подбирать методом полного перебора;
  • Зарегистрируйте в интернет-центре все ваши устройства, а для незарегистрированных устройств установите профиль доступа "Без доступа в Интернет" (для запрета доступа всем незарегистрированным устройствам) или ограничение скорости;
  • Используйте один из предустановленных интернет-фильтров (Яндекс.DNS, SkyDNS, AdGuard DNS) для безопасного доступа в Интернет, для защиты всех домашних устройств от опасных сайтов, онлайн-сервисов и других угроз;
  • Используйте функцию Контроль доступа Wi-Fi, создав "Белый список". В этом случае интернет-центр будет блокировать подключение для всех клиентов, не входящих в этот список;
  • Без необходимости не используйте открытую (без защиты) сеть Wi-Fi, это небезопасно;
  • Для повышения уровня безопасности сети Wi-Fi можно отключить функцию быстрой настройки WPS;
  • Включите функцию Скрывать SSID (Hide SSID). Она включает режим скрытого идентификатора беспроводной сети (SSID). При её использовании имя вашей сети Wi-Fi не будет отображаться в списке доступных беспроводных сетей на устройствах пользователей (не будет виден ее идентификатор SSID), но при этом пользователи, осведомленные о существовании этой сети и знающие её имя, смогут подключиться к ней.

Дополнительно для устройств с "белым" IP-адресом для доступа в Интернет:

  • Без необходимости не разрешайте удаленный доступ из Интернета к веб-конфигуратору Keenetic по HTTP и тем более по TELNET;
  • Рекомендуем сменить стандартные порты управления интернет-центром. Например, порт управления по HTTP с 80 на 8080, а порт управления по TELNET с 23 на 2023;
  • Начиная с версии KeeneticOS 2.12 был добавлен сервер SSH (Secure Shell — безопасная оболочка), с помощью которого можно безопасно подключаться к командной строке интернет-центра. Рекомендуем использовать SSH-подключение вместо TELNET при подключении к устройству из Интернета. Смените стандартный порт управления по SSH c 22 на другой, например на 2022;
  • Для удалённого доступа в локальную сеть, в том числе и к устройствам сети (например, к IP-камере, сетевому медиаплееру или USB-накопителю), рекомендуем использовать VPN-сервер на Keenetic (например L2TP/IPsec или PPTP), а не открывать доступ с помощью правил переадресации портов. При этом создайте отдельную учетную запись пользователя для подключения к VPN и используйте сложный пароль пользователя;
  • Если вы не используете службу UPnP, отключите её. В этом случае вы будете уверены, что не будут автоматически создаваться правила NAT и межсетевого экрана. Например, службу UPnP может использовать вредоносное ПО с локального хоста.
  • В некоторых случаях может потребоваться открыть определенные порты вручную (настроить переадресацию портов). Рекомендуем в переадресации портов открывать только определенные порты и протоколы, которые необходимы для работы сервера или сетевого устройства, а не пробрасывать все порты и протоколы на хост локальной сети.
  • При использовании правил переадресации и межсетевого экрана имеется возможность ограничить доступ, например, разрешив его только с одного IP-адреса или определенной подсети, а для всех остальных запретить.
  • Не разрешайте в межсетевом экране выполнение пинг-запросов для всех пользователей со стороны внешней сети (из Интернета).

 

TIP: Примечание:

1. Начиная с версии KeeneticOS 2.08 была улучшена защита интернет-центра от роботов, перебирающих пароли (защита от брутфорса, англ. brute force). Защита работает для внешних интерфейсов устройства по протоколам HTTP (TCP/80) и Telnet (TCP/23). По умолчанию данная защита включена в интернет-центре. В случае, если кто-то в течение 3-х минут 5 раз неверно введет учетные данные для входа в интернет-центр, его IP-адрес будет заблокирован на 15 минут.

2. В Keenetic все потенциально уязвимые опции WPS отключены (по умолчанию выключена функция использования пин-кода, а сам алгоритм ввода пин-кода специально доработан против взлома). Используется поддержка механизма WPSv2 и защита от всех известных на текущий момент уязвимостей, связанных с протоколом WPS (в том числе от атак Pixie Dust).

3. В KeeneticOS была улучшена защита от уязвимости WPA2 KRACK (уязвимость протокола WPA2, известная как атака реинсталяции ключей KRACK).

4. Что касается атак типа 802.11r Fast-BSS Transition (FT) CVE-2017-13082, то они не затрагивают интернет-центры Keenetic, поддерживающие стандарт IEEE 802.11r.

5. Интернет-центры Keenetic не подвержены уязвимости CVE-2017-7494 (WannaCry, SambaCry).

6. Защита от DoS-атак и SYN-flood присутствует в ядре Linux, используемом в операционной системе интернет-центра.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.