Как проверить маршрутизатор на наличие уязвимостей

Обновлено: 21.11.2024

Тема "Проверка DNS-серверов" перемещена на новую страницу. Он объясняет DNS и перечисляет несколько веб-сайтов, которые сообщают о действующих в настоящее время DNS-серверах. Никогда не бывает очевидным, но крайне важно знать, чьи DNS-серверы вы используете.

Лучшие тестировщики брандмауэров

Однако есть три случая, когда тесты брандмауэра не взаимодействуют с вашим маршрутизатором. Если вы подключены к VPN, общественность увидит сервер VPN, а не ваш маршрутизатор. Точно так же с Tor вы в конечном итоге тестируете выходной узел Tor, а не свой маршрутизатор. Третий случай связан с коробкой, к которой напрямую подключен ваш маршрутизатор. Если это просто модем, то все хорошо. Однако, если это шлюзовое устройство (комбинация модема, маршрутизатора и, возможно, даже телефонного адаптера) от вашего интернет-провайдера, то устройство, видимое для внешнего мира, может быть шлюзом, а не вашим маршрутизатором. Чтобы ваш маршрутизатор был вашим публичным лицом в Интернете, шлюз необходимо перевести в режим моста. Из-за этого он работает только как модем.

Статус порта: "открытый" порт отвечает на нежелательные входящие запросы. «Закрытый» порт (также известный как «отказ» в жаргоне Nmap) доступен, но приложение не прослушивает его. Статус «стелс» (также известный как «отфильтровано» для Nmap) означает, что данные, отправленные на порт, вообще не генерируют ответа. Это самый безопасный статус.

Порты TCP для тестирования вверху

Обратите внимание, что при подключении к VPN эти тесты проверяют сервер VPN, а не ваш маршрутизатор. То же самое для Тора. «Открытый» порт отвечает на нежелательные входящие запросы. «Закрытый» порт (также известный как «отказ» в жаргоне Nmap) доступен, но приложение не прослушивает его. Статус «стелс» (также известный как «отфильтровано» для Nmap) означает, что данные, отправленные на порт, вообще не генерируют ответа. Это самый безопасный статус. Этот список крайне неполный.

Порты UDP для тестирования вверху

Обратите внимание, что этот список довольно неполный.

  • В январе 2021 г. выяснилось, что Plex использовала UPnP в маршрутизаторах для открытия UDP-портов 32410 и 32414 и что они использовались в атаках с усилением отражения. Проверьте UDP-порт 32410 и UDP-порт 32414.
  • В июне 2019 г. было обнаружено, что порт UDP 3283 используется для DDoS-атак. См. Призыв к ARMS: UDP-атаки с отражением/усилением DDoS-атак службы удаленного управления Apple. Проверьте UDP-порт 3283.
  • В марте 2018 г. компания Cisco выпустила исправление для ошибки проверки границ в подсистеме качества обслуживания IOS/IOS XE. Уязвимость может быть атакована через UDP-порт 18999. Протестируйте UDP-порт 18999.
  • Злоумышленники теперь используют открытые серверы LDAP для усиления DDoS-атак (Люциан Константин, 26 октября 2016 г.) атаки. LDAP используется в корпоративных сетях, и «его использование непосредственно в Интернете считается рискованным и крайне не рекомендуется». Тем не менее, SHODAN сообщает о более чем 140 000 систем, использующих его. Проверьте порт 389 TCP и порт 389 UDP.
  • NAT-PMP, как и UPnP, позволяет резидентному устройству в локальной сети пробить брешь в брандмауэре маршрутизатора. Он был разработан Apple, которая использует его для Back to My Mac. Он прослушивает UDP-порт 5351. В 2014 году было обнаружено, что более миллиона устройств, подключенных к Интернету, имеют этот порт открытым на стороне WAN. Упс. Некоторыми компаниями, выпускающими устройства с этим недостатком, были Belkin, Netgear, Technicolor, Ubiquiti и ZyXEL. Фонд Shadowserver ежедневно сканирует это. 11 ноября 2016 года они обнаружили 1,2 миллиона устройств, использующих NAT-PMP. Подробнее здесь и здесь. Тестовый порт 5351.
  • Служба Asus infosvr прослушивает UDP-порт 9999. У нее есть история ошибок (см. здесь, здесь, здесь и здесь. Предполагается, что это проблема только на стороне локальной сети (см. раздел ниже о тестировании порта на стороне локальной сети), тем не менее, Не помешает проверить его и на стороне WAN, если у вас есть маршрутизатор Asus.Проверьте порт 9999.
  • Если вы не используете SNMP, а большинство людей не используют его, то порты UDP 161 и 162 следует закрыть. Устройство, на котором работает SNMP, может быть использовано в атаках с усилением SNMP, типе DDoS-атаки. Фонд Shadowserver Foundation сканирует Интернет в поисках устройств, которые отвечают на команды SNMP через UDP-порт 161. В середине ноября 2016 года они обнаружили 3 490 417 таких устройств. Тестовый порт 161 и тестовый порт 162.
  • Порт 1233. Приложение Toshiba Service Station получает команды через этот порт, и в декабре 2015 года было обнаружено, что это проблема безопасности. Подробнее здесь. Проверьте это
  • Если вы не используете L2TP VPN, порт 1701 не должен быть открыт. Не уверен, что это использует UDP, лучше перестраховаться, чем потом сожалеть. Тестовый порт 1701
  • Ошибка в маршрутизаторах Netis и Netcore может быть использована на порту 53413. Подробнее читайте здесь и здесь. С августа 2014 г. Согласно сканированию, проведенному Shadowserver Foundation в середине ноября 2016 г., в сети находится 20 320 уязвимых маршрутизаторов, подавляющее большинство из которых находится в Китае. Маршрутизаторы Netis продаются в США. Тестовый порт 53413
  • В сентябре 2016 г. в маршрутизаторе D-Link был обнаружен бэкдор. Отправка «HELODBG» на UDP-порт 39889 приведет к тому, что маршрутизатор запустит Telnet, позволяя злоумышленнику войти в систему без пароля. Тестовый порт 39889
  • Порт 631 используется для протокола интернет-печати как с TCP, так и с UDP. Подробнее об этом читайте в приведенном выше разделе о портах TCP
  • .

Тестеры портов UDP

Тестировщики UPnP (основные изменения: 30 ноября 2018 г.) вверху

Есть две основные проблемы с безопасностью UPnP: то, что он делает в локальной сети, по замыслу, и то, что он не подключен к Интернету.

На стороне локальной сети UPnP опасен, поскольку позволяет вычислительным устройствам (обычно устройствам Интернета вещей) пробить брешь в брандмауэре маршрутизатора. Это подвергает устройства доступу в Интернет, где их плохая безопасность, такая как пароли по умолчанию, может быть нарушена. Устройства на стороне локальной сети могут делать гораздо больше с точки зрения настройки маршрутизатора, за которым они сидят, но пробивание брандмауэра — это классическая проблема.

UPnP на стороне WAN/Интернета маршрутизатора — это совершенно другая проблема. UPnP никогда не предназначался для использования в Интернете. Протокол вообще не имеет защиты. Никаких паролей, никакого шифрования, никакой проверки личности, ничего. Он был разработан для использования между доверенными устройствами. Еще в январе 2013 года Rapid7 обнаружил более 80 миллионов устройств, использующих UPnP в Интернете. Не должно было быть ни одного. В то время я писал об этом в блоге: проверьте свой маршрутизатор сейчас, пока это не сделал Лекс Лютор.

Кроме того, на многих из этих 80 миллионов устройств использовалось программное обеспечение UPnP, которое загружалось с ошибками. Вы не можете это выдумать.

Итак, просто отключить UPnP? Не так быстро. Хотя, безусловно, безопаснее отключить UPnP, это может быть не идеальным решением. Во-первых, есть шанс, что маршрутизатор может отключить UPnP только на стороне локальной сети, поскольку он никогда не должен был быть доступен в Интернете. Впрочем, у роутеров тоже есть свои баги, и отключение UPnP вполне может ничего не дать. Еще в 2013 году, когда Стив Гибсон создал свой тест UPnP (см. ниже), он нашел примеры обеих проблем, заявив: «Мы подтвердили, что некоторые маршрутизаторы оставляют его включенным снаружи, даже если он выключен внутри, которые на самом деле не отключают его внутри." Очевидно, нам нужно проверить UPnP.

В апреле 2018 года компания Akamai обнаружила, что более 4,8 миллиона устройств уязвимы для запросов UDP SSDP (часть UDP UPnP). Из них примерно 765 000 также выявили уязвимые реализации TCP.

ОНЛАЙН-ТЕСТЕРЫ UPnP

  • В июне 2017 года Марек Майковски и Бен Кокс из Cloudflare описали обнаруженную ими атаку с усилением, которая использовала SSDP-компонент UDP: Stupidly Simple DDoS Protocol (SSDP) генерирует DDoS-атак со скоростью 100 Гбит/с. В ответ Кокс создал онлайн-тестер UPnP на сайте badupnp.benjojo.co.uk. Хороший результат: "Все хорошо! Похоже, вы не слушаете UPnP в глобальной сети"
  • Стив Гибсон добавил тестирование UPnP в свою программу ShieldsUP! сервис в январе 2013 года. На первой странице нажмите серую кнопку «Продолжить». На следующей странице нажмите желтую/оранжевую кнопку «Мгновенный тест воздействия UPnP от GRC». Хороший результат, когда ваш роутер не отвечает. чтобы проверить, открыт ли UDP-порт 1900 на вашем маршрутизаторе. Хорошим результатом является статус "отфильтровано?" и сообщение: "Наше сканирование безопасности не обнаружило открытых портов".
  • По данным команды Netlab на Qihoo 360, ботнет BCMUPnP_Hunter, впервые появившийся в сентябре 2018 г., постоянно сканирует маршрутизаторы с открытым интерфейсом UPnP на порту 5431. По состоянию на 7 ноября 2018 г. ботнет состоит из 100 000 маршрутизаторов. Rapid7 сообщил, что некоторые маршрутизаторы Broadcom, D-Link и TP-Link используют TCP-порт 5431 для UPnP. Протестируйте TCP-порт 5431. Хороший результат — «Скрытый»
  • В ноябре 2018 г. компания Akamai сообщила об атаке на маршрутизатор, которую они назвали EternalSilence. Это одна из многих атак на маршрутизаторы, открывающие доступ к UPnP из Интернета. Отчасти злоумышленники атаковали устройства, использующие TCP-порт 2048 для UPnP. Блог обновлен в январе 2022 г. Тест TCP-порта 2048. Хороший результат — «Скрытность»
  • Rapid7 сообщил, что некоторые маршрутизаторы используют TCP-порт 2869 для UPnP. Протестируйте TCP-порт 2869. Хороший результат — «Скрытый»
  • Похоже, что Huawei использует порт 37215 для UPnP и предоставила доступ к нему в Интернете. Протестируйте TCP-порт 37215. Хороший результат — "Скрытый"
  • Предполагается, что UPnP использует UDP только на порту 1900, но, учитывая огромное количество ошибок, допущенных при работе с UPnP, может быть вредно также протестировать TCP-порт 1900. Хороший результат – "Скрытый"

Я все еще ищу тестер UPnP на стороне локальной сети. Одним из возможных вариантов является универсальный тестер Plug-and-Play для Windows от Ноэля Данжу.

Прекращено: Раньше Rapid7 предлагал онлайн-проверку UPnP, но прекратил ее. Rapid7 также прекратила выпуск своей устанавливаемой программы ScanNow, которая сканировала локальную сеть на наличие устройств с поддержкой UPnP и сообщала, работают ли на устройствах ошибочные версии программного обеспечения UPnP. Это было полезно, чтобы убедиться, что ваш маршрутизатор также не отвечает на UPnP на стороне локальной сети.Программа работала только в Windows и требовала 32-разрядных версий Java 6 или Java 7. Что касается того, почему они отказались от ScanNow, см. Уязвимость ScanNow DLL Search Order Hijacking and Deprecation.

Верх тестирования бокового порта LAN

TELNET: Отдельные боковые порты локальной сети можно протестировать с компьютера в локальной сети с помощью Telnet. Пользователям Windows необходимо будет сначала установить клиент Telnet, используя: Панель управления -> Программы и компоненты -> щелкните «Включение или отключение компонентов Windows» в левой колонке -> Установите флажок для клиента Telnet -> Нажмите OK. В ОС Х.

Чтобы использовать telnet в Windows, откройте окно командной строки и введите "telnet ipaddress portnumber". Например: «телнет 192.168.1.1 80». С обеих сторон IP-адреса должен быть пробел. Если порт закрыт, Windows сообщит, что «не удалось открыть соединение с хостом через порт 80: соединение не удалось». Если порт открыт, ответы различаются, вы можете просто увидеть пустой экран. Вы также можете подключиться к компьютеру через telnet по имени, например "telnet something.com 8080"

От Synology: как узнать, открыт или закрыт порт TCP?. В статье с картинками объясняется, как тестировать тестовые порты из Windows, Linux (оба с Telnet) и компьютера Mac до macOS 11 Big Sur. Типичное для Synology отсутствие даты в статье.

NMAP: эта команда проверяет порты UDP с 11 по 13 на устройстве с IP-адресом 1.2.3.4
nmap -sU -p 11-13 1.2.3.4

Информация о порте TCP/IP вверху

Вершина тестирования HNAP

Протокол администрирования домашней сети — это протокол управления сетевыми устройствами, выпущенный в 2007 году. С HNAP связаны четыре проблемы. Во-первых, у него длинная история ошибочных реализаций. Он также может сообщать плохим парням технические детали маршрутизатора, облегчая им поиск подходящей уязвимости для атаки. Тот факт, что маршрутизатор поддерживает HNAP, может быть не виден в его административном интерфейсе. Хуже всего то, что HNAP часто нельзя отключить. Четыре удара, вы выбыли.

Вы можете проверить, поддерживает ли маршрутизатор HNAP, введя

где 1.2.3.4 — это IP-адрес вашего маршрутизатора. Конечно, у каждого маршрутизатора есть два IP-адреса: один на общедоступной стороне, а другой — на частной. Я предлагаю проверить HNAP на каждом из них.

Если HNAP включен, этот тест отображает основную информацию об устройстве вашего маршрутизатора в XML-файле. См. пример вывода. В случае сбоя возникнет какая-либо ошибка, связанная с невозможностью отображения веб-страницы, например, ошибка 404 Not Found.

Если HNAP включен, попробуйте отключить его в административном интерфейсе маршрутизатора, а затем повторите попытку. Возможно, вы не сможете его отключить. Дополнительную информацию см. на странице HNAP.

URL-адреса, которые можно попробовать из вашей локальной сети

В этих примерах 1.2.3.4 представляет собой IP-адрес маршрутизатора со стороны локальной сети.

В октябре 2019 г. мы узнали о 10 маршрутизаторах D-Link с критическими недостатками, которые не будут устранены. Если у вас есть какой-либо из этих маршрутизаторов D-Link, не утруждайте себя тестированием, просто приобретите новый маршрутизатор: DIR-655, DIR-866L, DIR-652, DHP-1565, DIR-855L, DAP-1533, DIR-862L. , DIR-615, DIR-835 и DIR-825. Для подтверждения у CERT есть веб-страница Proof of Concept, которая отключит уязвимый маршрутизатор D-Link от Интернета на минуту.

Тесты модема вверху

Модем — это компьютер, и в нем тоже могут быть ошибки. Скорее всего модем как IP-адрес, например 192.168.100.1. Если ничего другого, вы должны попытаться получить доступ к модему по его IP-адресу, чтобы вам была доступна техническая информация о вашем интернет-соединении. Кроме того, вы хотите увидеть, какая информация доступна без пароля, некоторые модемы раскрывают слишком много. Если есть пароль, то измените его со значения по умолчанию.

Для большей безопасности маршрутизатор может заблокировать доступ к модему, заблокировав его IP-адрес. Я написал в блоге о доступе к модему со стороны локальной сети маршрутизатора в феврале 2015 года. Хотя прямой доступ к модему может быть полезен, он также может быть опасен. См. Разговор с модемом и Использование маршрутизатора для блокировки модема. Некоторые роутеры могут это делать, некоторые нет. Глупые маршрутизаторы, такие как потребительские ячеистые системы (eero, Google Wifi, Ubiquiti AmpliFi и т. д.), не могут этого сделать.

Отличный способ узнать, доступен ли модем со стороны локальной сети, – проверить его связь с помощью приведенной ниже команды. Надеюсь, команда не сработает.
ping 192.168.100.1
Если он доступен для проверки связи, проверьте доступ Telnet к модему с помощью приведенной ниже команды. Неудача — это гарантированный результат.
telnet 192.168.100.1
Другим хорошим тестом является nmap. Простейшей командой является
nmap 192.168.100.1.
Для получения более полного представления о локальной сети модема используйте следующую команду:
nmap -v -A -p 1-65535 192.168.100.1.

Лучшие тестировщики IP версии 6

Топ приложений для Android

  • По данным компании, RouterCheck "является первым потребительским инструментом для защиты вашего домашнего маршрутизатора. RouterCheck похож на антивирусную систему для вашего маршрутизатора. Он защищает ваш маршрутизатор от хакеров". Это приложение для Android. Я не пробовал.

Топ WebRTC

Технически WebRTC — это не маршрутизатор, а веб-браузер. Этот раздел здесь только для этого. Любой, кто использует VPN, должен выполнить эти тесты. WebRTC может раскрыть ваш общедоступный IP-адрес, который обычно скрыт VPN. Если вы используете более одного браузера, вам необходимо запустить эти тесты WebRTC в каждом из них.

Объявления сверху

Некоторые маршрутизаторы были взломаны, чтобы получать доход от показа рекламы. На этом сайте нет рекламы. Если вы видите рекламу при просмотре этой веб-страницы, значит что-то было взломано. Возможно, ваш маршрутизатор, возможно, ваш компьютер, возможно, ваш веб-браузер.

Если вы пытаетесь заблокировать рекламу и трекеры, у Эдуарда Урсу есть страница тестировщика adblock по адресу d3ward.github.io/toolz/src/adblock.

Почетного упоминания заслуживает организация Shadowserver Foundation, которая сканирует Интернет на наличие всевозможных вещей, которых там быть не должно.
См. Сканирование будет продолжаться до тех пор, пока Интернет не улучшится.

Часто производители роутеров не особо заботятся о качестве своего кода. В результате уязвимости не редкость. Сегодня маршрутизаторы являются приоритетной целью сетевых атак, что позволяет похитить деньги и данные, минуя локальные системы защиты. Как лично вы можете проверить качество прошивки и адекватность настроек? Сделать это можно с помощью бесплатных утилит, сервисов онлайн-тестирования и этой статьи.

Потребительские маршрутизаторы всегда подвергались критике за их ненадежность, но высокая цена еще не гарантирует высокий уровень безопасности. В декабре прошлого года специалисты Check Point обнаружили более 12 миллионов маршрутизаторов (включая некоторые топовые модели) и DSL-модемов, которые могут быть взломаны из-за уязвимостей в их механизме автоматической настройки. Широко используется для быстрой настройки сетевого оборудования на стороне клиента (CPE, Customer Premises Equipment). В последние десять лет интернет-провайдеры делают это с помощью CWMP (CPE WAN Management Protocol), протокола управления абонентским оборудованием. Спецификация TR-069 позволяет использовать его для отправки настроек и подключения сервисов через сервер автонастройки (ACS, Auto Configuration Server). Сотрудники Check Point обнаружили, что многие маршрутизаторы допускают ошибку при обработке CWMP-запросов, а интернет-провайдеры еще больше усложняют эту ситуацию: большинство из них не шифруют соединение между СКУД и клиентским оборудованием и не ограничивают доступ по IP- или MAC-адресам. Все это создает условия для легкой атаки «человек посередине».

Используя уязвимую реализацию CWMP, злоумышленник может сделать практически все, что угодно, например установить и прочитать параметры конфигурации, сбросить параметры до значений по умолчанию и удаленно перезагрузить устройство. Самый распространенный вид атаки — подмена DNS-адресов в настройках роутера на адреса серверов, контролируемых злоумышленником. Они фильтруют веб-запросы и перенаправляют те, которые адресованы банковским службам, на поддельные страницы. Фейковые страницы созданы для всех популярных платежных систем, таких как PayPal, Visa, MasterCard, QIWI и других.

Особенностью этой атаки является то, что браузер работает на чистой ОС и отправляет запрос на правильно введенный адрес реальной платежной системы. Проверка сетевых настроек на компьютере и проверка на вирусы не выявляют никаких проблем. Причем эффект тот же, если подключиться к платежной системе через взломанный роутер из другого браузера и даже с другого устройства в домашней сети.

Поскольку большинство людей редко проверяют настройки своего маршрутизатора (или даже доверяют этот процесс специалистам интернет-провайдера), проблема долгое время остается незамеченной. Обычно это обнаруживается методом исключения после того, как деньги были украдены со счетов и компьютерная проверка ничего не выявила.

Маршрутизатор проигнорировал запрос к порту 7547

На снимке экрана только положительный результат может свидетельствовать о наличии уязвимости. Отрицательный результат не гарантирует, что уязвимости нет. Чтобы исключить такую ​​возможность, необходимо провести полный тест на проникновение, например, с помощью сканера Nexpose или фреймворка Metasploit (bit.ly/1vlHHHw). Зачастую разработчики не могут сказать, какая версия RomPager используется в том или ином релизе их прошивки и включен ли он вообще. Этот компонент точно отсутствует только в альтернативных прошивках с открытым исходным кодом (о нем мы поговорим позже).

Указание безопасного DNS

Рекомендуется часто проверять настройки маршрутизатора и сразу же указывать альтернативные адреса DNS-серверов. Вот некоторые из них, > доступные бесплатно.

Comodo Secure DNS: 8.26.56.26 и 8.20.247.20
Norton ConnectSafe: 199.85.126.10, 199.85.127.10
Google Public DNS: 8.8.8.8, 2001:4860:4860:8888 — для IPv6
OpenDNS: 208.67.222.222, 208.67.220.220

Все они блокировать только зараженные и фишинговые сайты, не ограничивая доступ к ресурсам, предназначенным «для взрослых».

Есть и другие давно известные проблемы, которые владельцы сетевых устройств или (реже) их производители не желают исправлять. Два года назад специалисты DefenseCode обнаружили набор уязвимостей в маршрутизаторах и другом активном сетевом оборудовании девяти крупных компаний. Все они связаны с некорректной программной реализацией некоторых ключевых компонентов программы. В частности, это влияет на стек UPnP в прошивках для чипов Broadcom или тех, которые используют более старые версии libupnp, библиотеки с открытым исходным кодом.

Вместе с экспертами Rapid7 и CERT сотрудники DefenseCode обнаружили около семи тысяч уязвимых моделей устройств. За полгода активного сканирования случайного диапазона IPv4-адресов они выявили более 80 миллионов хостов, которые ответили на стандартный UPnP-запрос на WAN-порту. Каждый пятый из них поддерживал сервис SOAP (Simple Object Access Protocol), а 23 миллиона позволяли выполнять любой код без авторизации.

В большинстве случаев атака на роутеры с такой дырой в UPnP может быть запущена через модифицированный SOAP-запрос, что приводит к ошибке в обработке данных и позволяет оставшейся части кода попасть в произвольно выбранную область памяти роутера , где он запускается с привилегиями root. На домашних роутерах лучше полностью отключить UPnP и сделать так, чтобы запросы к порту 1900 были заблокированы. В этом вам может помочь сервис от Стива Гибсона, о котором я уже упоминал.

Маршрутизатор не ответил на запрос UPnP SSDP, и это хорошо!

По умолчанию протокол UPnP (Universal Plug and Play) включен на большинстве маршрутизаторов, сетевых принтеров, IP-камер, NAS и бытовых устройств, которые, вероятно, «слишком умны». Он включен по умолчанию в Windows, OS X и многих версиях Linux. Если вы можете настроить его использование, это не так уж плохо. Если доступны только варианты «включить» или «отключить», лучше выбрать последний.

Иногда производители намеренно внедряют бэкдоры в свое сетевое оборудование. Скорее всего, это происходит по указке спецслужб. Но в случае любого скандала в официальном ответе всегда упоминается «техническая необходимость» или «корпоративный сервис для улучшения качества связи». В некоторых маршрутизаторах Linksys и Netgear были обнаружены встроенные бэкдоры. Они открыли порт 32764 для приема удаленных команд. Поскольку этот номер не соответствует какой-либо общеизвестной службе, проблему можно легко обнаружить, например, с помощью внешнего сканера портов.

Проверка доступности портов известных троянских программ

Еще один способ провести бесплатный аудит домашней сети — загрузить и запустить антивирус Avast. Его новые версии включают Network Check, мастер тестирования, который > выявляет известные уязвимости и опасные сетевые настройки.

Avast не обнаружил проблем, но радоваться рано

Заводские настройки маршрутизаторов по умолчанию остаются самой распространенной проблемой безопасности. Речь идет не только о внутренних IP-адресах, общих для всей серии устройств, «admin» в качестве пароля и логина, но и о некоторых включенных сервисах, повышающих удобство использования в ущерб безопасности. В дополнение к UPnP они также имеют Telnet, протокол удаленного управления и службу WPS (Wi-Fi Protected Setup), включенную по умолчанию.

Критические ошибки часто обнаруживаются при обработке запросов Telnet. Например, маршрутизаторы серии D-Link DIR-300 и DIR-600 позволяли удаленно получить «оболочку» и выполнить любую команду через демона «telnetd» без какой-либо авторизации. Маршрутизаторы Linksys E1500 и E2500 позволяли внедрять код через обычный пинг. Они не проверяли параметр «ping_size», и в результате бэкдор мог быть создан в маршрутизаторе с помощью одной строки кода и метода GET. В случае с E1500 даже не пришлось пробовать какие-то дополнительные ухищрения при авторизации. Можно было просто указать новый пароль, не вводя текущий.

Похожая проблема была обнаружена в Netgear SPH200D, VoIP-телефоне. Кроме того, анализ прошивки показал, что в ней была активная скрытая учетная запись под названием «сервис» с тем же паролем.С помощью Shodan вы можете найти уязвимый маршрутизатор за пару минут. Они по-прежнему позволяют вам изменять любые свои настройки удаленно без авторизации. Вы можете сразу этим воспользоваться, а можете сделать что-то хорошее: найти в скайпе этого несчастного пользователя (по IP или по имени) и отправить ему пару рекомендаций, например, сменить прошивку и прочитать эту статью.

Сервис, сервис, открытие

Проблемы редко приходят сами по себе, так как активация WPS автоматически включает UPnP. Кроме того, стандартный PIN-код, используемый в WPS, или ключ предварительной аутентификации сводят на нет преимущества криптографической защиты WPA2-PSK.

В результате ошибок встроенного ПО WPS часто остается включенным даже после его отключения через веб-интерфейс. Узнать это можно с помощью Wi-Fi-сканера, например Wifi Analyzer, бесплатного приложения для Android-смартфонов.

Проверка фактического состояния WPS

Если администратор использует уязвимые службы, их нельзя отключить. Надеюсь, маршрутизатор хотя бы позволит сделать их более безопасными. Например, его можно настроить так, чтобы он не принимал команды через порт WAN, или задать определенный IP-адрес для Telnet.

Ограничение вместо отключения

Иногда веб-интерфейс не позволяет настроить или просто отключить опасный сервис, а залатать дыру стандартными средствами невозможно. В этом случае единственным решением будет поиск новой или альтернативной прошивки с расширенными возможностями.

Самыми популярными прошивками с открытым исходным кодом являются DD-WRT, OpenWRT и их форк Gargoyle. Установить их можно только на маршрутизаторы, включенные в список поддерживаемых устройств, то есть те, для которых производитель чипсета раскрыл свои полные спецификации.

Например, у Asus есть отдельная серия маршрутизаторов, которые изначально были разработаны с прицелом на использование DD-WRT (bit.ly/1xfIUSf). В этой серии уже есть двенадцать моделей от начального до корпоративного уровня. Маршрутизаторы MikroTik работают под управлением RouterOS, которая по гибкости настроек не уступает семейству *WRT. Это еще и полноценная сетевая ОС на базе ядра Linux, поддерживающая абсолютно все сервисы и все мыслимые конфигурации.

Сегодня вы можете установить альтернативную прошивку на многие маршрутизаторы, но будьте осторожны и проверяйте полное имя устройства. При одинаковом номере модели и внешнем виде роутеры могут иметь разные ревизии, за которыми могут скрываться абсолютно разные аппаратные платформы.

Проверка защиты

Вы можете проверить уязвимость OpenSSL с помощью ScanNow, бесплатной утилиты от Rapid7 (bit.ly/18g9TSf) или ее упрощенной онлайн-версии (bit.ly/1xhVhrM). Онлайн-тест занимает всего несколько секунд. В автономной программе можно указать диапазон IP-адресов, поэтому проверка занимает больше времени. Кстати, > поля регистрации ScanNow не проверяются.

Запросы UPnP игнорируются маршрутизатором

После теста утилита отобразит отчет и предложит вам попробовать Nexpose, более продвинутый сканер уязвимостей, ориентированный на корпоративную сеть. Он > доступен для Windows, Linux и VMware. В зависимости от версии бесплатная пробная версия ограничена периодом от 7 до 14 дней. Ограничения касаются > количества IP-адресов и областей сканирования.

Результаты тестирования ScanNow и реклама более продвинутого сканера

К сожалению, установка альтернативной прошивки с открытым исходным кодом является всего лишь способом улучшения защиты и не обеспечивает полной безопасности. Все версии прошивки являются модульными и объединяют в себе ряд ключевых компонентов. Когда у них возникает проблема, она затрагивает миллионы устройств. Например, уязвимость в библиотеке OpenSSL затронула и роутеры с *WRT. Его криптографические возможности использовались для шифрования сеансов удаленного доступа SSH, организации VPN, управления локальным веб-сервером и других популярных задач.Производители довольно быстро начали выпускать обновления, но проблема до сих пор полностью не устранена.

В маршрутизаторах постоянно обнаруживаются новые уязвимости, и некоторые из них эксплуатируются еще до выпуска исправления. Все, что может сделать владелец роутера, это отключить ненужные службы, изменить настройки по умолчанию, ограничить удаленное управление, чаще проверять настройки и обновлять прошивку.

В Wordfence мы делаем брандмауэр и сканер вредоносных программ, которые защищают более 2 миллионов веб-сайтов WordPress. Мы также отслеживаем атаки на эти сайты, чтобы определить, какие IP-адреса атакуют их, и блокируем эти IP-адреса в режиме реального времени с помощью черного списка.

Во вторник утром мы опубликовали сообщение, показывающее, что 6,7% всех атак, которые мы наблюдаем на сайтах WordPress, исходят от взломанных домашних маршрутизаторов. Только за последний месяц мы наблюдали более 57 000 уникальных домашних маршрутизаторов, которые использовались для атак на сайты WordPress. Эти домашние сети сейчас исследуются хакерами, которые имеют к ним полный доступ через взломанный домашний маршрутизатор. Они могут получить доступ к рабочим станциям, мобильным устройствам, Wi-Fi-камерам, беспроводному климат-контролю и любым другим устройствам, использующим домашнюю сеть Wi-Fi.

У половины проанализированных нами интернет-провайдеров есть маршрутизаторы со специфическими уязвимостями. Эта уязвимость известна как «файл cookie несчастья». Для краткости мы будем называть это уязвимостью MC. Он известен уже несколько лет и впервые был раскрыт CheckPoint в 2014 году. Сейчас он используется для взлома домашних маршрутизаторов. С помощью приведенного ниже инструмента вы можете узнать, есть ли у вас уязвимость MC.

Уязвимость MC существует в службе, которую ваш интернет-провайдер использует для удаленного управления вашим домашним маршрутизатором. Этот сервис прослушивает номер «порта» — 7547. Помимо уязвимости MC, этот порт может иметь и другие уязвимости, одна из которых была раскрыта несколько месяцев назад. Исследователи обсуждают опасность порта 7547 в домашних маршрутизаторах уже несколько лет.

Ваш интернет-провайдер не должен позволять кому-либо из общедоступного Интернета подключаться к порту 7547 вашего маршрутизатора. Только ваш интернет-провайдер должен иметь доступ к этому порту для управления вашим домашним маршрутизатором. У них есть возможность настроить свою сеть, чтобы предотвратить доступ посторонних к этому порту. Многие интернет-провайдеры не блокируют общий доступ к порту 7547.

Вы можете использовать приведенный ниже инструмент, чтобы определить, открыт ли ваш порт 7547 для общедоступного Интернета. Если это так, мы предлагаем вам связаться с вашим интернет-провайдером и попросить его запретить посторонним доступ к этому порту на вашем домашнем маршрутизаторе. Даже если вы не подвержены ни одной из двух уязвимостей, которые мы описали выше, в будущем уязвимости могут появиться на порту 7547. Заблокировав общий доступ, вы защитите себя и свою домашнюю сеть.

Проверьте, уязвимы ли вы

Чтобы использовать этот инструмент, просто нажмите кнопку "Сканировать меня", и мы проверим IP-адрес, с которого вы посещаете этот сайт, чтобы определить, открыт ли порт 7547 на вашем маршрутизаторе и уязвим ли он для уязвимости cookie-файлов несчастья.< /p>

Этот тест пытается подключиться к порту 7547 вашего домашнего маршрутизатора, чтобы узнать, прослушивает ли он, получает ответ от этого порта и анализирует его. Это достаточно безопасно, и если ваш порт 7547 общедоступен, он уже ежедневно получает множество подобных сканирований от хакеров и специалистов по безопасности.

[Примечание редактора: инструмент для проверки этой уязвимости был удален в апреле 2018 г.]

Что делать с результатами

Если вы уязвимы, мы рекомендуем вам:

  • Немедленно перезагрузите домашний маршрутизатор. Это может привести к удалению любых вредоносных программ с вашего домашнего маршрутизатора.
  • По возможности обновите прошивку маршрутизатора до последней версии. Закройте порт 7547 в конфигурации маршрутизатора, если это возможно. (Многие маршрутизаторы этого не позволяют)
  • Если вы не можете обновить собственную прошивку, немедленно позвоните своему интернет-провайдеру и сообщите, что у вас есть серьезная уязвимость в системе безопасности вашего домашнего маршрутизатора и вам нужна помощь в ее устранении. Вы можете указать им на этот пост в блоге (страница, на которой вы находитесь) и на этот веб-сайт CheckPoint для получения дополнительной информации. Сообщите им, что ваш маршрутизатор имеет уязвимость на порту 7547 в «Allegro RomPager», которая может позволить злоумышленнику получить доступ к вашей домашней сети и начать атаки с вашего маршрутизатора на других.
  • Выполните проверку на наличие вирусов на всех домашних рабочих станциях.
  • Обновите все домашние рабочие станции и устройства до новейших версий операционной системы и приложений или приложений.
  • При необходимости обновите прошивку на домашних устройствах.

Если вы не уязвимы, но на вашем маршрутизаторе открыт порт 7547, мы рекомендуем вам:

  • Немедленно перезагрузите домашний маршрутизатор. Вы можете столкнуться с другими уязвимостями порта 7547.
  • По возможности обновите прошивку маршрутизатора.
  • По возможности закройте порт 7547 на маршрутизаторе. (Многие маршрутизаторы этого не позволяют)
  • Свяжитесь со своим интернет-провайдером и сообщите ему, что порт 7547 на вашем домашнем маршрутизаторе доступен из общедоступного Интернета. Сообщите им, что порт 7547 используется вашим интернет-провайдером для управления маршрутизатором. Он не должен быть общедоступным. Предложите им отфильтровать доступ к этому порту, чтобы никто из общедоступного Интернета не мог получить к нему доступ.

Как вы можете помочь

По данным Shodan, популярного инструмента сетевого анализа, более 41 миллиона домашних маршрутизаторов по всему миру имеют порт 7547, открытый для общего доступа в Интернет. Мы пытаемся сообщить домашним пользователям и интернет-провайдерам, чтобы они заблокировали этот порт и исправили все уязвимые маршрутизаторы. Это поможет снизить количество атак на защищаемые нами веб-сайты и, что более важно, поможет защитить более 41 миллиона домашних сетей.

Мы обнаружили более 10 000 зараженных домашних маршрутизаторов в Алжире, которые используют Telecom Algeria для доступа в Интернет. Это домашние сети, которые уже взломаны. Мы обнаружили более 11 000 взломанных домашних маршрутизаторов в Индии с BSNL, еще одним крупным интернет-провайдером в этой стране, где маршрутизаторы уже были взломаны. Давайте поможем обезопасить наших соотечественников в Интернете и предотвратим взлом домашних сетей других пользователей.

Вы можете помочь, поделившись этим сообщением и предоставив домашним пользователям возможность проверить, не уязвимы ли они. Затем они могут обратиться к своим интернет-провайдерам с информацией, и это постепенно приведет к тому, что интернет-провайдеры закроют порт 7547 для внешнего доступа, а также вылечат и исправят уязвимые маршрутизаторы.

Пора выбросить этот старый роутер или можно просто сделать его безопаснее?

Большинство маршрутизаторов и сетевых шлюзов Wi-Fi, используемых домашними пользователями, совершенно небезопасны. Некоторые из них настолько уязвимы для атак, что их следует выбросить, заявил эксперт по безопасности на хакерской конференции HOPE X в Нью-Йорке.

"Если маршрутизатор продается в [известной сети магазинов электроники с сине-желтым логотипом], вы не захотите его покупать", – сказал собравшимся независимый компьютерный консультант Майкл Горовиц.

"Если ваш маршрутизатор предоставлен вам вашим интернет-провайдером [ISP], вы также не хотите его использовать, потому что они раздают их миллионы, и это делает их главной мишенью как для шпионских агентств, так и для плохие парни», — добавил он

Горовиц рекомендовал потребителям, заботящимся о безопасности, вместо этого перейти на коммерческие маршрутизаторы, предназначенные для малого бизнеса, или, по крайней мере, разделить свои модемы и маршрутизаторы на два отдельных устройства. (Многие «шлюзы», часто поставляемые интернет-провайдерами, могут выполнять обе функции.) В случае неудачи любого из этих вариантов Горовиц дал список мер предосторожности, которые могут принять пользователи.

Проблемы с потребительскими маршрутизаторами

Маршрутизаторы — это важные, но малоизвестные рабочие лошадки современных компьютерных сетей. Тем не менее, немногие домашние пользователи понимают, что маршрутизаторы на самом деле являются полноценными компьютерами со своими собственными операционными системами, программным обеспечением и уязвимостями.

«Скомпрометированный маршрутизатор может шпионить за вами», — сказал Горовиц, пояснив, что маршрутизатор, находящийся под контролем злоумышленника, может организовать атаку «человек посередине», изменить незашифрованные данные или отправить пользователя на веб-сайты «злого близнеца», маскирующиеся как часто используемая веб-почта или порталы онлайн-банкинга.

Многие домашние шлюзы потребительского уровня не уведомляют пользователей о появлении обновлений встроенного ПО, хотя эти обновления необходимы для устранения брешей в системе безопасности, — отметил Горовиц. Некоторые другие устройства не будут принимать пароли длиннее 16 символов — сегодня это минимальная длина для безопасности паролей.

Универсальный Pwn and Play

Миллионы маршрутизаторов по всему миру, даже некоторые из лучших, используют сетевой протокол Universal Plug and Play (UPnP) на портах, подключенных к Интернету, что делает их уязвимыми для внешних атак.

«UPnP был разработан для локальных сетей [локальных сетей] и поэтому не обеспечивает безопасности. Сам по себе это не так уж и важно», — сказал Горовиц.

Но, добавил он, "UPnP в Интернете - это то же самое, что идти на операцию, когда врач работает не на той ноге".

В 2014 году маршрутизаторный червь TheMoon использовал протокол HNAP для выявления уязвимых маршрутизаторов марки Linksys, на которые он мог распространяться. (Linksys быстро выпустила исправление прошивки.)

"Как только вы вернетесь домой, вы захотите сделать это со всеми своими маршрутизаторами", — сказал Горовиц технически подкованным слушателям. "Перейдите к /HNAP1/, и, надеюсь, вы не получите никакого ответа, если это единственная хорошая вещь. Честно говоря, если вы получите какой-либо ответ, я бы выбросил маршрутизатор."

Угроза WPS

Хуже всего это Wi-Fi Protected Setup (WPS) — простая в использовании функция, которая позволяет пользователям обойти сетевой пароль и подключать устройства к сети Wi-Fi, просто введя восьмизначный PIN-код, напечатанный на сам роутер. Даже если сетевой пароль или сетевое имя изменены, PIN-код остается действительным.

"Это огромная проблема безопасности, связанная с удалением ругательств", – сказал Горовиц. «Это восьмизначное число приведет вас к [маршрутизатору], несмотря ни на что.Итак, сантехник приходит к вам домой, переворачивает роутер, фотографирует его нижнюю часть, и теперь он может навсегда попасть в вашу сеть."

Этот восьмизначный PIN-код на самом деле не восьмизначный, — объяснил Горовиц. На самом деле это семь цифр плюс последняя цифра контрольной суммы. Первые четыре цифры проверяются как одна последовательность, а последние три — как другая, в результате чего получается только 11 000 возможных кодов вместо 10 миллионов.

"Если WPS активен, вы можете получить доступ к маршрутизатору", — сказал Горовиц. «Вам нужно всего лишь угадать 11 000 раз» — тривиальная задача для большинства современных компьютеров и смартфонов.

Затем есть сетевой порт 32764, который французский исследователь безопасности Элой Вандербекен обнаружил в 2013 году и который оставался открытым на маршрутизаторах-шлюзах, продаваемых несколькими крупными брендами.

Используя порт 32764, любой пользователь в локальной сети, включая интернет-провайдера пользователя, может получить полный административный контроль над маршрутизатором и даже выполнить сброс настроек без пароля.

Порт был закрыт на большинстве затронутых устройств после того, как Вандербекен сообщил об этом, но позже он обнаружил, что его можно легко открыть с помощью специально разработанного пакета данных, который можно отправить от интернет-провайдера.

"Очевидно, что это было сделано шпионским агентством, это просто потрясающе", – сказал Горовиц. "Это было преднамеренно, без сомнения".

Как заблокировать домашний роутер

По словам Горовица, первый шаг к обеспечению безопасности домашнего маршрутизатора — убедиться, что маршрутизатор и кабельный модем не являются единым устройством. Многие интернет-провайдеры сдают такие устройства двойного назначения в аренду клиентам, но эти клиенты будут иметь небольшой контроль над своими собственными домашними сетями. (Если вам нужен собственный модем, ознакомьтесь с нашими рекомендациями по выбору лучшего кабельного модема.)

"Если вам дали одну коробку, которую большинство людей, я думаю, называют шлюзом, – сказал Горовиц, – вы сможете связаться с интернет-провайдером и заставить его отключить коробку, чтобы она действовала как модем. Затем вы можете добавить к нему свой собственный маршрутизатор."

Далее Хоровиц порекомендовал покупателям приобрести недорогой коммерческий маршрутизатор Wi-Fi/Ethernet, например Pepwave Surf SOHO, который продается по цене около 200 долларов США (но будьте осторожны с завышенными ценами), а не маршрутизатор, ориентированный на потребителя. это может стоить всего 40 долларов США.

Маршрутизаторы коммерческого класса вряд ли поддерживают UPnP или WPS. Горовиц отметил, что Pepwave предлагает дополнительные функции, такие как откат прошивки в случае сбоя обновления прошивки. (Многие потребительские маршрутизаторы высшего класса, особенно предназначенные для геймеров, также предлагают это.)

Независимо от того, является ли маршрутизатор коммерческим или потребительским, есть несколько вещей, от простых до сложных, которые администраторы домашних сетей могут сделать, чтобы убедиться, что их маршрутизаторы более безопасны.

Простые решения для вашего домашнего беспроводного маршрутизатора

Измените учетные данные администратора с имени пользователя и пароля по умолчанию. Это первое, что попробует злоумышленник. Руководство по эксплуатации вашего маршрутизатора должно показать вам, как это сделать. Если нет, погуглите.

Сделайте пароль длинным, надежным и уникальным и не делайте его похожим на обычный пароль для доступа к сети Wi-Fi.

Измените имя сети или SSID с "Netgear", "Linksys" или любого другого по умолчанию на что-то уникальное, но не давайте ему имя, которое идентифицирует вас.

"Если вы живете в многоквартирном доме в квартире 3G, не называйте свой SSID "Квартира 3G"", — пошутил Горовиц. "Назовите это "Квартира 5F"

Включите автоматические обновления встроенного ПО, если они доступны. Новые маршрутизаторы, включая большинство ячеистых маршрутизаторов, автоматически обновляют прошивку маршрутизатора.

Включите беспроводное шифрование WPA2, чтобы только авторизованные пользователи могли подключаться к вашей сети. Если ваш маршрутизатор поддерживает только старый стандарт WEP, пришло время для нового маршрутизатора.

Включите новый стандарт шифрования WPA3, если маршрутизатор его поддерживает. Однако по состоянию на середину 2021 года это делают только новейшие маршрутизаторы и клиентские устройства (ПК, мобильные устройства, устройства для умного дома).

Отключите Wi-Fi Protected Setup, если ваш маршрутизатор позволяет это сделать.

Настройте гостевую сеть Wi-Fi и предлагайте ее использование посетителям, если ваш маршрутизатор поддерживает такую ​​функцию. Если возможно, настройте гостевую сеть таким образом, чтобы она отключалась через заданный период времени.

"Вы можете включить гостевую сеть и установить таймер, и через три часа она выключится", – сказал Горовиц. "Это действительно хорошая функция безопасности."

Если у вас много устройств для умного дома или Интернета вещей, велика вероятность, что многие из них не будут надежно защищены. Подключите их к своей гостевой сети Wi-Fi, а не к основной сети, чтобы свести к минимуму ущерб, вызванный любой потенциальной компрометацией устройства IoT.

Не используйте облачное управление маршрутизатором, если его предлагает производитель вашего маршрутизатора. Вместо этого выясните, можете ли вы отключить эту функцию.

"Это действительно плохая идея", – сказал Горовиц. «Если ваш маршрутизатор предлагает это, я бы этого не делал, потому что теперь вы доверяете другому человеку между вами и вашим маршрутизатором».

Многие системы "ячеистых маршрутизаторов", такие как Nest Wifi и Eero, полностью зависят от облака и могут взаимодействовать с пользователем только через облачные приложения для смартфонов.

Несмотря на то, что эти модели предлагают улучшения безопасности в других областях, например благодаря автоматическому обновлению встроенного ПО, возможно, стоит поискать сетчатый маршрутизатор с локальным административным доступом, такой как Netgear Orbi.

Умеренно сложные исправления домашнего маршрутизатора

Установите новую прошивку, когда она станет доступной. Именно так производители маршрутизаторов устанавливают исправления безопасности. Регулярно заходите в административный интерфейс маршрутизатора для проверки — вот руководство с дополнительной информацией.

Для некоторых брендов вам, возможно, придется проверить веб-сайт производителя на наличие обновлений прошивки. Но имейте под рукой резервный маршрутизатор, если что-то пойдет не так. Некоторые маршрутизаторы также позволяют создавать резервную копию текущей прошивки перед установкой обновления.

Настройте маршрутизатор на использование диапазона 5 ГГц для Wi-Fi вместо более стандартного диапазона 2,4 ГГц, если это возможно, и если все ваши устройства совместимы.

"Полоса частот 5 ГГц не распространяется так далеко, как полоса частот 2,4 ГГц", – сказал Горовиц. "Так что, если в вашем районе есть какой-то плохой парень в квартале или двух, он может видеть вашу сеть 2,4 ГГц, но может не видеть вашу сеть 5 ГГц".

Отключите удаленный административный доступ и отключите административный доступ через Wi-Fi. Администраторы должны подключаться к маршрутизаторам только через проводной Ethernet. (Опять же, это невозможно со многими ячеистыми маршрутизаторами.)

Дополнительные советы по безопасности маршрутизатора для технически подкованных пользователей

Измените настройки административного веб-интерфейса, если это разрешено вашим маршрутизатором. В идеале интерфейс должен обеспечивать безопасное HTTPS-соединение через нестандартный порт, чтобы URL-адрес для административного доступа выглядел примерно так, как, например, у Горовица, «https://192.168.1.1:82» вместо более стандартного "http://192.168.1.1", который по умолчанию использует стандартный интернет-порт 80.

Используйте режим инкогнито или приватный режим браузера при доступе к административному интерфейсу, чтобы новый URL-адрес, указанный на предыдущем шаге, не сохранялся в истории браузера.

Отключите PING, Telnet, SSH, UPnP и HNAP, если это возможно. Все это протоколы удаленного доступа. Вместо того, чтобы устанавливать для соответствующих портов значение «закрыто», установите для них значение «невидимка», чтобы не было ответа на нежелательные внешние сообщения, которые могут исходить от злоумышленников, исследующих вашу сеть.

"У каждого маршрутизатора есть возможность не отвечать на команды PING", – сказал Горовиц. «Это абсолютно то, что вы хотите включить — отличная функция безопасности. Она помогает вам спрятаться. Конечно, вы не собираетесь прятаться от своего интернет-провайдера, но вы собираетесь прятаться от какого-то парня в России или Китае».

Измените сервер системы доменных имен (DNS) маршрутизатора с собственного сервера интернет-провайдера на сервер, поддерживаемый OpenDNS (208.67.220.220, 208.67.222.222), Google Public DNS (8.8.8.8, 8.8.4.4) или Cloudflare (1.1. 1.1, 1.0.0.1).

Если вы используете IPv6, соответствующие адреса OpenDNS — 2620:0:ccc::2 и 2620:0:ccd::2, адреса Google — 2001:4860:4860::8888 и 2001:4860: 4860::8844, а Cloudflare — 2606:4700:4700::1111 и 2606:4700:4700::1001.

Используйте маршрутизатор виртуальной частной сети (VPN), чтобы дополнить или заменить существующий маршрутизатор и зашифровать весь сетевой трафик.

"Когда я говорю о VPN-маршрутизаторе, я имею в виду маршрутизатор, который может быть VPN-клиентом", – сказал Горовиц. «Затем вы регистрируетесь в какой-нибудь VPN-компании, и все, что вы отправляете через этот маршрутизатор, проходит через их сеть. Это отличный способ скрыть то, что вы делаете, от вашего интернет-провайдера».

Многие домашние Wi-Fi-маршрутизаторы можно «прошить» для работы с прошивкой с открытым исходным кодом, такой как прошивка DD-WRT, которая, в свою очередь, изначально поддерживает протокол OpenVPN. Большинство лучших VPN-сервисов также поддерживают OpenVPN и предоставляют инструкции по настройке маршрутизаторов с открытым исходным кодом для их использования.

[Эта история была впервые опубликована в июле 2014 года, и с тех пор в нее появлялась новая информация.]

Читайте также: