Защитита маршрутизатора от вредоносных программ

Потребительские маршрутизаторы защищены весьма слабо. Злоумышленники используют "дыры" в программном обеспечении от производителей для атаки огромного количества маршрутизаторов. Следует проверить, не был ли скомпрометирован ваш маршрутизатор.

Рынок домашних маршрутизаторов во многом походит на рынок смартфонов Android. Производители выпускают массу разнообразных устройств, не беспокоясь об их обновлении, что оставляет их открытыми для атаки.

Настройки маршрутизатора

DNS в маршрутизатореЗачастую злоумышленники стремятся изменить настройки сервера DNS в маршрутизаторе, задавая в его качестве зловредный сервер DNS. Когда вы попытаетесь подключиться, скажем, к сайту вашего банка, зловредный сервер DNS прикажет браузеру перейти на фишинговый сайт. В адресной строке будет правильный адрес банка, но в действительности сайт будет совсем другим, поддельным. Вредоносный сервер DNS не обязательно отвечают на все запросы. Он может не отвечать на большинство запросов, перенаправляя их на стандартный сервер DNS вашего провайдера. Необычно медленные запросы DNS служат вероятным признаком заражения.

Наблюдательные люди могут обнаружить, что на таком фишинговом сайте нет шифрования HTTPS, но большинство ничего не заметит. Атаки SSL-стриппинга могут убирать шифрование в пути.

Злоумышленники могут вставлять рекламу, перенаправлять результаты поиска или пытаться установить «теневые» загрузки. Они могут перехватывать запросы к Google Analytics или другим скриптам, применяемым почти на каждом сайте, чтобы перенаправить их на сервер со скриптом, вставляющим рекламу. Если на легальных сайтах вы видите сомнительную рекламу, то наверняка заражен ваш компьютер или маршрутизатор.

CSRFМногие злоумышленники прибегают к атакам на подделку межсайтовых запросов (CSRF). Вредоносный скрипт на JavaScript внедряется на веб-страницу и пытается загрузить страницу администрирования маршрутизатора с целью изменения его настроек. Поскольку JavaScript исполняется на устройстве внутри вашей локальной сети, код имеет доступ только к веб-интерфейсу, доступному внутри сети.

У некоторых маршрутизаторов доступ к интерфейсу удаленного администрирования производится по стандартному логину и паролю. Боты сканируют интернет на наличие таких маршрутизаторов и получают к ним доступ. Другие эксплойты пользуются иными уязвимостями маршрутизаторов – к примеру, дырами в UPnP на многих маршрутизаторах.

Как проверить маршрутизатор на взлом?

Изменение сервера DNS явно говорит о взломе маршрутизатора. Зайдите в веб-интерфейс маршрутизатора, чтобы проверить его настройки сервера DNS. Необходимо открыть веб-страницу настройки маршрутизатора. Проверьте адрес шлюза сетевого соединения, а в случае затруднений обратитесь к документации маршрутизатора, чтобы узнать как это делается.

При необходимости авторизуйтесь на маршрутизаторе при помощи логина и пароля. Найдите настройку “DNS” – как правило, на экране настроек WAN или интернет-соединения. Если тут задано “автоматически”, то все в порядке — настройки получаются от провайдера. Если же тут задано “вручную” и указаны пользовательские сервера DNS, то как раз это и может быть проблемой.

Вы вполне могли настроить на маршрутизаторе использование надежных альтернативных серверов DNS — предположим, 77.88.8.8 и 77.88.8.88 для Яндекс DNS или 8.8.8.8 и 8.8.4.4 для Google DNS или 208.67.222.222 и 208.67.220.220 для OpenDNS и прочие известные днс. Но если вы видите неизвестные серверы DNS, то, значит, вредоносная программа поменяла их в маршрутизаторе. В случае сомнения осуществите поиск в интернете по адресам серверов DNS для проверки их подлинности. Нечто вроде “0.0.0.0” вполне нормально и обычно означает, что поле пустое и что маршрутизатор автоматически получает серверы DNS. Следует периодически проверять данные настройки, чтобы узнать, не был ли скомпрометирован ваш маршрутизатор.

Если настроен вредоносный сервер DNS, отключите его и укажите маршрутизатору использовать автоматический сервер DNS провайдера или введите адреса легитимных серверов DNS от Яндекса или Google.

Если были заданы вредоносные серверы DNS, для страховки сотрите полностью настройки маршрутизатора и сбросьте его к заводским настройкам перед повторной настройкой. Потом при помощи нижеприведенных советов защитите маршрутизатор от повторных атак.

сброс маршрутизатора

Защита маршрутизатора (роутера) от атак

Можно до некоторой степени защитить маршрутизатор от атак. Если же в маршрутизаторе присутствуют незакрытые производителем дыры, полностью защитить его не удастся.

Установка обновлений прошивки: Убедитесь, что на маршрутизаторе установлена новейшая прошивка. Включите автоматическое обновление прошивки, если маршрутизатор предлагает его, — увы, часто его нет. По крайней мере, это защищает от взлома через уже закрытые уязвимости.

Отключение удаленного доступа: Отключите удаленный доступ к страницам веб-администрирования маршрутизатора.

Изменение пароля: Поменяйте пароль к интерфейсу веб-администрирования маршрутизатора, чтобы злоумышленники не могли зайти по стандартному паролю.

Отключение UPnP: UPnP особенно уязвим. Даже если UPnP не уязвим на вашем маршрутизаторе, действующая в вашей локальной сети вредоносная программа может поменять сервер DNS посредством UPnP. Такой принцип работы UPnP — он доверяет всем запросам, поступающим из вашей локальной сети.
Предполагается, что DNSSEC обеспечивает дополнительную безопасность, но это не панацея. На практике каждая клиентская операционная система доверяет настроенному серверу DNS. Вредоносный сервер DNS может заявить, что в записи DNS нет информации DNSSEC, либо что такая информация в ней есть, и передаваемый вместе с ней IP-адрес подлинный.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Защитита маршрутизатора от вредоносных программ