Безопасность интернет-центра Keenetic

В интернет-центрах Keenetic по умолчанию работают встроенный межсетевой экран (Firewall) с контролем соединений и защитой от атак и механизм трансляции сетевых адресов (NAT). Они запрещают входящие подключения из Интернета или со стороны WAN-интерфейса к устройствам домашней сети. Это позволяет скрыть и защитить устройства вашей сети от пользователей Интернета и угроз извне. Помимо этого по умолчанию доступ из Интернета к управлению интернет-центром (к его веб-конфигуратору) заблокирован. Это реализовано с целью безопасности интернет-центра, локальной сети и защиты от несанкционированного доступа. Что касается безопасности информации в сети Wi-Fi, то по умолчанию беспроводная сеть интернет-центра защищена по стандарту безопасности IEEE 802.11i (WPA2 AES). К такой сети невозможно подключиться и понять передаваемую в ней информацию, не зная её пароль (ключ безопасности).

NOTE: Важно! С заводскими установками интернет-центр полностью защищен от атак и угроз извне, и не требует дополнительных настроек, кроме создания сложного* пароля администратора интернет-центра. Работа служб интернет-центра архитектурно не подразумевает каких-либо постоянно открытых портов и бэкдоров, которыми могут воспользоваться злоумышленники.
Для обеспечения безопасности интернет-центра Keenetic рекомендуем регулярно проверять обновления и своевременно их устанавливать. Используйте функцию автоматического обновления операционной системы (включена по умолчанию). В этом случае на вашем устройстве будет установлена самая последняя версия операционной системы KeeneticOS и вам не придется тратить время на обновление.
Сохраняйте информационную безопасность — не сообщайте пароль администратора интернет-центра незнакомым людям.

* — Сложным (сильным) является пароль, который трудно угадать и долго подбирать методом полного перебора.

При использовании нашего сервиса доменных имен KeenDNS цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер, по протоколу HTTPS, защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых данных через Интернет. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транспортном уровне. При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также гарантирует безопасность и защиту данных от перехвата.

Однако пользователь, выполняя дополнительные настройки интернет-центра, может самостоятельно создать уязвимость (дыру) в системе безопасности. Особенно это касается настройки правил межсетевого экрана, переадресации (проброса) портов, удаленного подключения к интернет-центру, доступа к ресурсам домашней сети и настройки беспроводной / гостевой сети Wi-Fi.

Теоретически, потенциальный злоумышленник может получить доступ к интернет-центру удаленно (со стороны внешнего WAN-интерфейса, например из Интернета, или из сети провайдера) или локально (например, со стороны сети Wi-Fi интернет-центра). О недоступности устройства для посторонних лиц должен позаботиться сам пользователь.

NOTE: Важно! Без необходимости не используйте открытую сеть Wi-Fi (без защиты), это небезопасно, т.к. к вашей сети смогут свободно подключиться посторонние клиенты, а также в открытых сетях не предусмотрено шифрования передаваемых данных.

Если у вас используется частный "серый" IP-адрес для доступа в Интернет, то можно не беспокоиться о дополнительной защите роутера от атак из Интернета. С "серым" IP-адресом роутер недоступен из Интернета для прямых обращений к нему, и к тому же по умолчанию доступ извне запрещён межсетевым экраном и механизмом трансляции сетевых адресов (NAT). Достаточно установить сложный пароль учетной записи администратора (admin) интернет-центра.

При использовании публичного "белого" IP-адреса следует использовать дополнительные правила безопасности, т.к. в этом случае роутер становится виден в Интернете и соответственно возможны различные угрозы и атаки на него.

Инструменты дополнительной защиты:

  • Установите сложный пароль учетной записи администратора (admin) интернет-центра; Проверить сложность пароля можно здесь; Для создания сложного пароля вы можете использовать менеджер паролей;
  • Используйте сложный пароль для подключения к вашей сети Wi-Fi. В интернет-центре по умолчанию предустановлен сильный пароль, который трудно угадать и долго подбирать методом полного перебора;
  • Зарегистрируйте в интернет-центре все ваши устройства, а для незарегистрированных устройств установите профиль доступа "Без доступа в Интернет" (для запрета доступа всем незарегистрированным устройствам) или ограничение скорости;
  • Используйте один из предустановленных интернет-фильтров (Яндекс.DNS, SkyDNS, AdGuard DNS) для безопасного доступа в Интернет, для защиты всех домашних устройств от опасных сайтов, онлайн-сервисов и других угроз;
  • Для защиты DNS-трафика можно использовать протоколы DNS over TLS и DNS over HTTPS, которые позволяют зашифровать DNS-запросы. Поддержка указанных протоколов появилась в KeeneticOS с версии 3.00. Их основная задача - зашифровать DNS-трафик для предотвращения перехвата и обеспечения дополнительной конфиденциальности и безопасности. Подробную информацию вы найдете в инструкции "Протоколы DNS over TLS и DNS over HTTPS для шифрования DNS-запросов"; 
  • Используйте функцию Контроль доступа Wi-Fi, создав "Белый список". В этом случае интернет-центр будет блокировать подключение для всех клиентов, не входящих в этот список;
  • Для повышения уровня безопасности сети Wi-Fi можно отключить функцию быстрой настройки WPS;
  • Функция Скрывать SSID (Hide SSID). Она включает режим скрытого идентификатора беспроводной сети (SSID). При её использовании имя вашей сети Wi-Fi не будет отображаться в списке доступных беспроводных сетей на устройствах пользователей (не будет виден ее идентификатор SSID), но при этом пользователи, осведомленные о существовании этой сети и знающие её имя, смогут подключиться к ней.

Дополнительно для устройств с "белым" IP-адресом для доступа в Интернет:

  • Без необходимости не разрешайте удаленный доступ из Интернета к веб-конфигуратору Keenetic по HTTP и тем более по TELNET;
  • Рекомендуем сменить стандартные порты управления интернет-центром. Например, порт управления по HTTP с 80 на 8080, а порт управления по TELNET с 23 на 2023;
  • Начиная с версии KeeneticOS 2.12 был добавлен сервер SSH (Secure Shell — безопасная оболочка), с помощью которого можно безопасно подключаться к командной строке интернет-центра. Рекомендуем использовать SSH-подключение вместо TELNET при подключении к устройству из Интернета. Смените стандартный порт управления по SSH c 22 на другой, например на 2022;
  • Для удалённого доступа в локальную сеть, в том числе и к устройствам сети (например, к IP-камере, сетевому медиаплееру или USB-накопителю), рекомендуем использовать VPN-сервер на Keenetic (например L2TP/IPsec или PPTP), а не открывать доступ с помощью правил переадресации портов. При этом создайте отдельную учетную запись пользователя для подключения к VPN и используйте сложный пароль пользователя;
  • Если вы не используете службу UPnP, отключите её. В этом случае вы будете уверены, что не будут автоматически создаваться правила NAT и межсетевого экрана. Например, службу UPnP может использовать вредоносное ПО с локального хоста.
  • В некоторых случаях может потребоваться открыть определенные порты вручную (настроить переадресацию портов). Рекомендуем в переадресации портов открывать только определенные порты и протоколы, которые необходимы для работы сервера или сетевого устройства, а не пробрасывать все порты и протоколы на хост локальной сети.
  • При использовании правил переадресации и межсетевого экрана имеется возможность ограничить доступ, например, разрешив его только с одного IP-адреса или определенной подсети, а для всех остальных запретить.
  • Не разрешайте в межсетевом экране выполнение пинг-запросов для всех пользователей со стороны внешней сети (из Интернета).

TIP: Примечание:

1. Начиная с версии KeeneticOS 2.08 была улучшена защита интернет-центра от роботов, перебирающих пароли (защита от брутфорса, англ. brute force). Защита работает для внешних интерфейсов устройства по протоколам HTTP (TCP/80) и Telnet (TCP/23). По умолчанию данная защита включена в интернет-центре. В случае, если кто-то в течение 3-х минут 5 раз неверно введет учетные данные для входа в интернет-центр, его IP-адрес будет заблокирован на 15 минут.

2. В Keenetic все потенциально уязвимые опции WPS отключены (по умолчанию выключена функция использования пин-кода, а сам алгоритм ввода пин-кода специально доработан против взлома). Используется поддержка механизма WPSv2 и защита от всех известных на текущий момент уязвимостей, связанных с протоколом WPS (в том числе от атак Pixie Dust).

3. В KeeneticOS была улучшена защита от уязвимости WPA2 KRACK (уязвимость протокола WPA2, известная как атака реинсталяции ключей KRACK).

4. Что касается атак типа 802.11r Fast-BSS Transition (FT) CVE-2017-13082, то они не затрагивают интернет-центры Keenetic, поддерживающие стандарт IEEE 802.11r.

5. Интернет-центры Keenetic не подвержены уязвимости CVE-2017-7494 (WannaCry, SambaCry).

6. Защита от DoS-атак и SYN-flood присутствует в ядре Linux, используемом в операционной системе интернет-центра.

7. Начиная с версии KeeneticOS 3.00 реализован режим "Доступ по HTTPS" — запрет прямого доступа по IP-адресам и именам роутера без сертификата.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 5 из 5

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.