Безопасность интернет-центра Keenetic

В интернет-центрах Keenetic по умолчанию работают встроенный межсетевой экран (Firewall) с контролем соединений и защитой от атак и механизм трансляции сетевых адресов (NAT). Они запрещают входящие подключения из Интернета или со стороны WAN-интерфейса к устройствам домашней сети. Это позволяет скрыть и защитить устройства вашей сети от пользователей Интернета и угроз извне. Помимо этого по умолчанию доступ из Интернета к управлению интернет-центром (к его веб-конфигуратору) заблокирован. Это реализовано с целью безопасности интернет-центра, локальной сети и защиты от несанкционированного доступа.

Что касается безопасности информации в сети Wi-Fi, то по умолчанию беспроводная сеть интернет-центра защищена по стандарту безопасности IEEE 802.11i (WPA2 AES). К такой сети невозможно подключиться и понять передаваемую в ней информацию, не зная её пароль (ключ безопасности).
С версии операционной системы KeeneticOS 3.1 в интернет-центрах была добавлена поддержка новых современных алгоритмов безопасности WPA3-PSK, OWE, WPA/WPA2/WPA3-Enterprise и WPA3-192 Enterprise для обеспечения усиленной защиты беспроводной сети Wi-Fi. Подробности в статье "Новые механизмы защиты беспроводной сети WPA3 и OWE".
Также интернет-центры Keenetic поддерживают стандарт IEEE 802.11w из семейства стандартов IEEE 802.11 для защиты кадров управления (Protected Management Frames). Эта функциональность повышает безопасность путем обеспечения конфиденциальности данных в кадрах управления.

NOTE: Важно! С заводскими установками интернет-центр полностью защищен от атак и угроз извне, и не требует дополнительных настроек, кроме создания сложного* пароля администратора интернет-центра. Работа служб интернет-центра архитектурно не подразумевает каких-либо постоянно открытых портов и бэкдоров, которыми могут воспользоваться злоумышленники.
Для обеспечения безопасности интернет-центра Keenetic рекомендуем регулярно проверять обновления и своевременно их устанавливать. Используйте функцию автоматического обновления операционной системы (включена по умолчанию). В этом случае на вашем устройстве будет установлена актуальная версия KeeneticOS и вам не придется тратить время на обновление.
Сохраняйте информационную безопасность — не сообщайте пароль администратора интернет-центра незнакомым людям.

* — Сложным (сильным) является пароль, который состоит из случайных чисел и букв, его трудно запомнить, угадать и долго подбирать методом полного перебора.

При использовании нашего сервиса доменных имен KeenDNS цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер, по протоколу HTTPS, защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых данных через Интернет. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транспортном уровне. При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также гарантирует безопасность и защиту данных от перехвата.

Будьте внимательны при использовании доменных имен KeenDNS 4-го уровня для удаленного доступа к сетевым устройствам. Некоторые устройства имеют открытый веб-интерфейс, доступ к которым возможен без авторизации (без пароля). Открыть с помощью KeenDNS удаленный доступ на такое устройство небезопасно. В операционной системе KeeneticOS имеется возможность включения принудительной авторизации при удаленном доступе на такие устройства средствами Keenetic.

Однако пользователь, выполняя дополнительные настройки интернет-центра, может самостоятельно создать уязвимость (дыру) в системе безопасности. Особенно это касается настройки правил межсетевого экрана, переадресации (проброса) портов, удаленного подключения к интернет-центру, доступа к ресурсам домашней сети и настройки беспроводной / гостевой сети Wi-Fi.

Теоретически, потенциальный злоумышленник может получить доступ к интернет-центру удаленно (со стороны внешнего WAN-интерфейса, например из Интернета, или из сети провайдера) или локально (например, со стороны сети Wi-Fi интернет-центра). О недоступности устройства для посторонних лиц должен позаботиться сам пользователь.

NOTE: Важно! Без необходимости не используйте открытую сеть Wi-Fi (без защиты), это небезопасно, т.к. к вашей сети смогут свободно подключиться посторонние клиенты, а также в открытых сетях не предусмотрено шифрования передаваемых данных.

Если у вас используется частный "серый" IP-адрес для доступа в Интернет, то можно не беспокоиться о дополнительной защите роутера от атак из Интернета. С "серым" IP-адресом роутер недоступен из Интернета для прямых обращений к нему, и к тому же по умолчанию доступ извне запрещён межсетевым экраном и механизмом трансляции сетевых адресов (NAT). Достаточно установить сложный пароль учетной записи администратора (admin) интернет-центра.

При использовании публичного "белого" IP-адреса следует использовать дополнительные правила безопасности, т.к. в этом случае роутер становится виден в Интернете и соответственно возможны различные угрозы и атаки на него.

Инструменты дополнительной защиты:

  • Установите сложный пароль учетной записи администратора (admin) интернет-центра, длиной не менее 8 символов; Генерируйте случайные пароли; Включайте в пароль цифры и иные символы; Избегайте использования одного пароля для различных сайтов или целей; Проверить сложность пароля можно здесь; Для создания сложного пароля вы можете использовать менеджер паролей;
  • Используйте сложный пароль для подключения к вашей сети Wi-Fi. В интернет-центре по умолчанию предустановлен сильный пароль, который трудно угадать и долго подбирать методом полного перебора;
  • Зарегистрируйте в интернет-центре все ваши устройства, а для незарегистрированных устройств установите профиль доступа "Без доступа в Интернет" (для запрета доступа всем незарегистрированным устройствам) или ограничение скорости;
  • Используйте один из предустановленных интернет-фильтров (Яндекс.DNS, SkyDNS, AdGuard DNS, Cloudflare DNS) для безопасного доступа в Интернет, для защиты всех домашних устройств от опасных сайтов, онлайн-сервисов и других угроз;
  • Для защиты DNS-трафика можно использовать протоколы DNS over TLS и DNS over HTTPS, которые позволяют зашифровать DNS-запросы. Поддержка указанных протоколов появилась с версии KeeneticOS 3.0. Их основная задача - зашифровать DNS-трафик для предотвращения перехвата и обеспечения дополнительной конфиденциальности и безопасности. Подробную информацию вы найдете в инструкции "Протоколы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов;
  • Можно использовать функцию Контроль доступа Wi-Fi, создав "Белый список". В этом случае интернет-центр будет блокировать подключение для всех клиентов, не входящих в этот список;
  • Если нужно предоставить временно доступ в Интернет сторонним пользователям, используйте для этой цели Гостевую сеть Wi-Fi. Это отдельная сеть с выходом только в Интернет. При этом устройства, подключенные к гостевой сети, будут изолированы от ресурсов (приложений) домашней сети, что позволит защитить и обезопасить её, например от вирусов и вредоносного ПО, содержащихся на устройствах ваших знакомых. Также в гостевом сегменте по умолчанию запрещен беспроводным клиентам обмен информацией между собой и проводным сегментом;
  • Если вы не пользуетесь функцией быстрой настройки WPS при подключении новых устройств к роутеру, отключите её для повышения уровня безопасности;
  • Чтобы повысить безопасность локальной сети, можно с помощью нашего мобильного приложения Keenetic включить отправку уведомлений о подключении к сети нового незарегистрированного устройства на адрес электронной почты (e-mail), через push-уведомления (оповещения от приложения Keenetic на мобильном устройстве) или в виде оповещения в мессенджере Telegram. Дополнительную информацию вы найдете в инструкции "Настройка оповещений о включении / отключении определенного устройства домашней сети";
  • Функция Скрывать SSID (Hide SSID) включает режим скрытого идентификатора беспроводной сети (SSID). При её использовании имя вашей сети Wi-Fi не будет отображаться в списке доступных беспроводных сетей на устройствах пользователей (не будет виден ее идентификатор SSID), но при этом пользователи, осведомленные о существовании этой сети и знающие её имя, смогут подключиться к ней.

Дополнительно для устройств с публичным IP-адресом для доступа в Интернет:

  • Без необходимости не разрешайте удаленный доступ из Интернета к веб-конфигуратору Keenetic по протоколу HTTP и тем более по TELNET;
  • Рекомендуем сменить стандартные порты управления интернет-центром. Например, порт управления по HTTP с 80 на 8080, а порт управления по TELNET с 23 на 2023; Выключите использование протокола HTTP и включите использование удаленного подключения к веб-конфигуратору интернет-центра только по протоколу HTTPS (данная возможность появилась с версии KeeneticOS 3.1);
  • С версии KeeneticOS 2.12 был добавлен сервер SSH (Secure Shell — безопасная оболочка), с помощью которого можно безопасно подключаться к командной строке интернет-центра. Рекомендуем при подключении к устройству из Интернета использовать SSH-подключение вместо TELNET. Смените стандартный порт управления по SSH c 22 на другой, например на 2022;
  • Для удалённого доступа в локальную сеть, в том числе и к устройствам сети (например, к IP-камере, сетевому медиаплееру, принтеру или USB-накопителю), рекомендуем использовать VPN-сервер на Keenetic (например L2TP/IPsec, SSTP или PPTP), а не открывать доступ с помощью правил переадресации портов. При этом создайте отдельную учетную запись пользователя для подключения к VPN и используйте сложный пароль пользователя. В инструкции "Типы VPN-соединений в Keenetic" вы найдете краткое описание всех видов VPN, которые реализованы в наших интернет-центрах;
  • Если вы не используете службу UPnP, отключите её. В этом случае вы будете уверены, что не будут автоматически создаваться правила NAT и межсетевого экрана. Например, службу UPnP может использовать вредоносное ПО с локального хоста;
  • В некоторых случаях может потребоваться открыть определенные порты вручную (настроить переадресацию портов). Рекомендуем в переадресации портов открывать только определенные порты и протоколы, которые необходимы для работы сервера или сетевого устройства, а не пробрасывать все порты и протоколы на хост локальной сети;
  • При использовании правил переадресации и межсетевого экрана имеется возможность ограничить доступ, например, разрешив его только с одного IP-адреса или определенной подсети, а для всех остальных запретить;
  • Не разрешайте в межсетевом экране выполнение пинг-запросов для всех пользователей со стороны внешней сети (из Интернета).

TIP: Примечание:

1. Интернет-центры серии Keenetic имеют поддержку различных типов VPN-подключений на все случаи жизни и для любого типа подключения: Wireguard, IPsec, SSTP, PPTP, OpenVPN, L2TP/IPsec, IKEv2 и так называемый виртуальный сервер IPSec (Xauth PSK). Подробности вы найдете в статье "Типы VPN-соединений в Keenetic".

2. С версии KeeneticOS 2.08 была улучшена защита интернет-центра от роботов, перебирающих пароли (защита от брутфорса, англ. brute force). Защита работает для внешних интерфейсов устройства по протоколам HTTP (TCP/80) и Telnet (TCP/23). По умолчанию данная защита включена в интернет-центре. В случае, если кто-то в течение 3-х минут 5 раз неверно введет учетные данные для входа в интернет-центр, его IP-адрес будет заблокирован на 15 минут.

3. С версии KeeneticOS 2.12 появилась возможность задать параметры отслеживания попыток вторжения путем перебора паролей SSH и FTP-сервера для публичных интерфейсов (по умолчанию функция включена).

4. С версии KeeneticOS 3.1 добавлена возможность задать параметры отслеживания попыток вторжения путем перебора паролей VPN-сервера PPTP (по умолчанию функция включена).

5. В Keenetic все потенциально уязвимые опции WPS отключены (по умолчанию выключена функция использования пин-кода, а сам алгоритм ввода пин-кода специально доработан против взлома). Используется поддержка механизма WPSv2 и защита от всех известных на текущий момент уязвимостей, связанных с протоколом WPS (в том числе от атак Pixie Dust).

6. В KeeneticOS была улучшена защита от уязвимости WPA2 KRACK (уязвимость протокола WPA2, известная как атака реинсталяции ключей KRACK).

7. Что касается атак типа 802.11r Fast-BSS Transition (FT) CVE-2017-13082, то они не затрагивают интернет-центры Keenetic, поддерживающие стандарт IEEE 802.11r.

8. Интернет-центры Keenetic не подвержены уязвимости CVE-2017-7494 (WannaCry, SambaCry).

9. Защита от DoS-атак и SYN-flood присутствует в ядре Linux, используемом в операционной системе интернет-центра.
Атаки типа Denial of Service (DoS) и Distributed Denial of Service (DDoS) строятся на использовании открытия большого количества подключений к устройству. DDoS-атаки с точки зрения объекта, на который они направлены, неотличимы от работы в пиринговой сети. В силу своих особенностей, DDoS-атаки, и соответственно защита от них, малоактуальны как для домашних устройств доступа, так и для SOHO-сегмента. DDoS-атаки как правило направлены на корпоративные структуры, публичные сайты, датацентры и т.п. Распределенные атаки на отказ в обслуживании обычно эффективно устраняются на стороне провайдера.

10. С версии KeeneticOS 3.1 реализован режим "Доступ по HTTPS" — запрет прямого доступа по IP-адресам и именам роутера без сертификата.

11. С версии KeeneticOS 3.4.1 в интернет-центрах реализована блокировка атак типа DNS Rebinding и она включена по умолчанию.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 27 из 28

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 4
  • Подскажите, пожалуйста, как ограничить доступ к интернет-центру Keenetic исключительно через порты Ethernet, чтобы у пользователей не было даже теоретической возможности подключения к админ-панели по wi-fi?

    1
    Действия с комментариями Постоянная ссылка
  • Можно изменить номер порта управления для веб-конфигуратора роутера со стандартного 80 на нестандартный, например на 777 и установить сложный пароль для учетной записи администратора. Обычно этого достаточно, чтобы обычный пользователь не подключился к настройкам роутера.
    Дополнительно можно попробовать в межсетевом экране запретить доступ всем устройствам домашней сети по TCP/80 к адресу роутера (192.168.1.1), кроме одного IP-адреса. Как вариант, можно создать дополнительный сегмент и включить в него только один или несколько сетевых портов коммутатора (в этом сегменте будет разрешен доступ к вебу). А в другом сегменте тогда межсетевым экраном запретить доступ по TCP/80 к адресу роутера.

    1
    Действия с комментариями Постоянная ссылка
  • Спасибо за интересные решения. В таком случае такой вопрос, а не проще ли ограничить доступ к админ-панели определенным мас-адресом, есть ли такая возможность? На данный момент в интернет-центре есть система белого списка устройств, но она ограничивает/открывает доступ как к админ-панели, так и к интернету. Цель же, чтобы к роутеру ежедневно подключалось множество устройств (в том числе и новых) и без каких-либо действий они быстро получали доступ к интернету, но при этом чтобы даже теоретической возможности попасть в админ-панель у них не было.

    0
    Действия с комментариями Постоянная ссылка
  • Можно заблокировать доступ из локальной сети к веб-интерфейсу роутера с помощью правил Межсетевого экрана. Создайте запрещающее правило, в котором укажите IP-адрес хоста источника, IP-адрес назначения (это локальный IP роутера) и протокол HTTP/80. Например:

    Но обычно только администратор роутера знает IP-адрес веб-интерфейса роутера. Простой пользователь знает только о существовании роутера, но какой у него адрес веб-интерфейса не знает и не желает знать. Для дополнительной безопасности вы можете изменить предустановленный по умолчанию адрес роутера 192.168.1.1 на другой более сложный (например, 172.16.123.1). Но даже если кто-то из локальной сети увидит окно авторизации роутера, то он не сможет зайти в веб-интерфейс не зная пароля администратора.
    Для протокола HTTP по умолчанию выключена возможность логирования попыток неудачной авторизации в системе. Включить её можно специальной командой. После этого в системном журнале будут фиксироваться события о неудачных попытках подключения к веб-интерфейсу роутера про протоколу HTTP. В интерфейсе командной строки (CLI) интернет-центра выполните команды:
    ip http log auth
    system configuration save
    Затем в системном журнале вы сможете видеть попытки неудачного подключения. При необходимости (с помощью захвата сетевых пакетов) вы сможете вычислить IP-адрес, с которого идут попытки.

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.