/PODCAST

Jak zabezpieczyć router – bezpieczeństwo sieci domowej?

Wprowadzenie

Jeżeli czytasz ten materiał to znaczy, że posiadasz dostęp do Internetu. Jest więc spora szansa, że w zaciszu Twojego mieszkania znajduje się router, który dostarcza Internet do komputera, telefonu i tabletu. Urządzenia te zazwyczaj są schowane za meblami i przypominamy sobie o nich raz na jakiś czas, gdy potrzeba chwili nakazuje nam ich restart. Ale ich zadanie jest o wiele większe niż tylko rozdzielanie pakietów do odpowiednich miejsc. Możesz sobie z tego nie zdawać sprawy, ale router stanowi swoistą pierwszą linię obrony przed atakującymi, którzy czyhają na nasze wirtualne zasoby.

Ataki na router

W dzisiejszym materiale opowiem o bezpieczeństwie domowych routerów. Co może nam grozić, jeżeli przestępca przejmie nad nimi kontrolę? Jakie opcje może wykorzystać przeciwko nam, a także jak możemy się przed tym obronić? Jeżeli materiały tego rodzaju Ci się podobają zapraszam do dołączenia do grupy od 0 do pentestera na Facebooku.

Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.

Serwer DHCP

DHCP

Zacznę od wyjaśnienia, jak atakujący może wykorzystać nasz domowy router przeciwko nam. Domowy router nie służy tylko do rozdzielenia Internetu przychodzącego z jednego kabla naszego dostarczyciela usług na wiele komputerów. Posiada wiele innych, wbudowanych funkcji. Jedną z nich jest serwer DHCP. Ten to serwer automatycznie przydziela nam adres IP, którym będzie się posługiwał nasz komputer.

Wykorzystując analogię – każdy komputer podłączony do sieci, aby mógł z niej korzystać, musi mieć swój adres IP. Tak jak każde mieszkanie musi mieć swój numer – aby listonosz wiedział, gdzie dostarczyć listy. Po włączeniu komputera, router zazwyczaj przesyła nam pakiet z adresem IP, którego powinniśmy używać.

Dane DNS

Oprócz tego, przekazuje tam również adres serwera DNS. Ludzie są bowiem słabi w zapamiętywaniu liczb – a adres IP to właśnie taki ciąg. Zamiast tego wolimy wykorzystywać nazwy, które coś dla nas znaczą. Jeżeli bowiem chciałbyś odwiedzić moją stronę, prościej jest mi powiedzieć abyś wpisał w przeglądarkę ciąg „szurek.pl”. Wtedy to Twoja przeglądarka i system operacyjny komunikują się z serwerem DNS, pytając jaki adres IP ma serwer „szurek.pl”. Serwer DNS zwraca odpowiedni wynik i dopiero wtedy można połączyć się z odpowiednim komputerem w sieci. Tak działa to normalnie. Ale jeżeli atakujący posiada dostęp do routera – może przeprowadzić atak DNS hijacking.

DNS hijacking

DNS hijacking

Wtedy nasz komputer otrzyma błędny adres serwera DNS, który jest kontrolowany przez przestępcę. Niesie to za sobą różnorakie konsekwencje. Po pierwsze – osoba po drugiej stronie będzie wiedziała, jakie adresy stron odwiedzamy. Zapytanie o każdy taki adres bowiem trafia do serwera DNS. Po drugie – jeżeli tylko będzie miała na to ochotę – będzie mogła zwrócić nam błędny adres IP serwera, o którego adres prosimy. Czyli zamiast łączyć się z serwerem naszego banku, możemy połączyć się z komputerem atakującego.

Ale atak może się odbywać na innej płaszczyźnie. Przez router przepływa bowiem cały ruch internetowy. Złośliwy aktor może dla przykładu modyfikować treść dowolnej strony, którą przeglądamy – doklejając do niej nowy kawałek kodu. Ten to może wykonywać najróżniejsze czynności. Logować wciśnięte klawisze, kopać kryptowaluty, czy też modyfikować podawane w formularzach dane. Wszystko zależy od inwencji twórcy. Jeżeli ściągamy jakiś plik z serwisu, automatycznie w locie może podmienić jego zawartość na inną, wygenerowaną przez niego. To może prowadzić do dalszej infekcji nie tylko naszego routera, ale także systemu operacyjnego na komputerze. Wszak ściągnęliśmy plik ze strony, której ufamy i nie spodziewaliśmy się, że mogła ona zawierać jakieś złośliwe elementy.

Infekcja komputera

Te ataki są niwelowane przez protokół HTTPS i szyfrowanie połączenia. O ile bowiem atakujący może podmienić adres IP, to nie może stworzyć odpowiedniego certyfikatu. Więcej o tym temacie opowiadam w innym podcaście na temat protokołu HTTPS. Tylko, to zabezpieczenie działa jedynie w przypadku protokołu HTTPS. Musimy więc być tego świadomi.

Atak DDOS

Ale atak może zaszkodzić nie tylko nam. Na świecie istnieją bowiem miliony routerów. Znajdując błąd w jednym z nich – atakujący może zaatakować wszystkie z danej serii, a następnie wykorzystać do niecnych celów. Jednym z takich celów jest atak DDoS – kiedy to wiele różnych routerów wykonuje zmasowany atak na jedną stronę internetową. Cel jest jeden – doprowadzić do tymczasowej awarii strony, tak aby nie mogli z niej korzystać inni użytkownicy. Nie brzmi to jakoś złowrogo, ale zastanówmy się nad potencjalnymi konsekwencjami.

Atak DDOS

Przed nami czarny piątek – jeden z lepszych okresów dla wszystkich sklepów internetowych, gdzie sprzedaż produktów trwa w najlepsze. Kilkuminutowy atak podczas takiego dnia to już realne straty dla sklepów, liczone w setkach złotych. Ale to nie wszystko.

Dyski i drukarki

Do niektórych routerów można podpiąć zewnętrzne dyski twarde oraz drukarki. Dzięki temu wszyscy domownicy mają dostęp do ważnych dla nich plików w obrębie całego mieszkania. To samo tyczy się atakującego, który może wykorzystać tak zebrane informacje do podszycia się pod nas lub do szantażu. Może również dla żartu uruchomić drukowanie 1000 stron w nocy na naszej domowej drukarce. Dalej, routery posiadają wbudowaną zaporę sieciową. Ona to działa trochę jak zawór jednostronny. My – możemy łączyć się z zewnętrznymi stronami i oglądać ich zawartość. Równocześnie zewnętrzne podmioty nie mogą bezpośrednio łączyć się z naszymi komputerami – ponieważ nie pozwoli na to firewall. Atakujący odpowiednio modyfikując konfigurację, może umożliwić dostęp do naszych komputerów.

Udostępnianie plików

Często zdarza się, że w obrębie sieci lokalnej udostępniamy niektóre pliki z naszego komputera, tak aby inni użytkownicy mieli do nich dostęp. Teraz – dostęp do nich jest również możliwy z zewnątrz. Jak widać zagrożeń jest wiele – wszystko zależy od kreatywności przestępców. Wiemy już, że router należy chronić. Ale jak to robić?

WPA2

WPA2

Jeżeli korzystasz z Wi-Fi – włącz szyfrowanie WPA2 z AES. Co więcej, hasło tam używane powinno być długie i skomplikowane. Dlaczego? Ktoś, kto to będzie chciał skorzystać z Twojego Wi-Fi do niecnych celów nie musi cały tydzień siedzieć w samochodzie pod Twoim blokiem. Wystarczy, że raz pójdzie wyprowadzić psa z odpowiednim sprzętem. Ten sprzęt pobierze odpowiedni pakiet. Można go potem wykorzystać do przeprowadzania ataków siłowych w domu – bez dostępu do routera.

Jeżeli więc nasze hasło ma tylko kilka znaków – szybko zostanie złamane. Atakujący będzie próbował wszystkich możliwych kombinacji. Nowoczesny sprzęt jest w stanie sprawdzić kilkaset tysięcy takich haseł na sekundę. Równie dobrze, jeżeli nie wykazaliśmy się kreatywnością – hasło może znajdować się w jednym z wcześniejszych wycieków danych. Wtedy złamanie go to tylko czysta formalność.

Sieć lokalna

Dzięki temu ktoś otrzyma dostęp do naszej sieci lokalnej. A to oznacza, że ma bezpośredni dostęp do naszych komputerów. Jeżeli ich nie aktualizujemy, bądź znajdują się tam stare wersje podatnych programów – możemy być narażeni. Co więcej, ktoś może wykorzystać nasz Internet i przeprowadzić jakąś nielegalną czynność. A wtedy to do naszych drzwi zapuka policja z prośbą o wyjaśnienia. Nazwa sieci nie powinna bezpośrednio wskazywać na naszą osobę. Sieć Kowalskiego to niekoniecznie dobry pomysł.

Lokalizacja WIFI

Atak bruteforce

Zwłaszcza, że istnieją projekty, które zbierają informacje na temat dostępnych w danej lokalizacji sieci Wi-Fi. Informacje te służą niektórym usługom do geolokalizacji użytkownika, w sytuacji w której sygnał GPS nie jest dostępny. Okazuje się bowiem, że skanując listę dostępnych sieci i porównując ją z wirtualną bazą, możemy z dużą dozą prawdopodobieństwa określić, gdzie znajduje się dany użytkownik. Nazwy sieci w skali świata rzeczywiście się powtarzają. Ale już ich kombinacje – czyli fakt, że w danym miejscu użytkownik widzi sygnał sieci kowalski, test i kwiatek niekoniecznie.

Pozostając w temacie haseł. Warto zmienić login i hasło do interfejsu graficznego urządzenia, tak aby przestała działać standardowa kombinacja admin/admin. Równocześnie dostęp do interfejsu graficznego powinien być dostępny tylko od strony portów LAN. Tłumacząc to nieco prościej – tylko z poziomu naszego mieszkania powinniśmy móc zalogować się do panelu admina. Można to łatwo sprawdzić, korzystając na moment z Internetu mobilnego w naszym telefonie. Jeżeli w przeglądarce podamy adres IP domowego Internetu, nie będąc równocześnie do niego podłączonymi – i otrzymamy możliwość wpisania hasła – koniecznie warto wyłączyć odpowiednią opcję.

WPS

WPS

Jeżeli nasz router posiada opcję WPS – wyłączmy ją. W teorii miała przyspieszyć parowanie komputera z nową siecią Wi-Fi. Zamiast przepisywać długie i skomplikowane hasła – wystarczył krótki pin lub wciśnięcie przycisku na obudowie urządzenia. Obecnie, standard ten uznawany jest za niebezpieczny i powinno się go wyłączyć. Możemy również zmienić adres serwera DNS na taki, który zapewni nam odpowiednią dawkę prywatności. Jednym z wyborów może być 1.1.1.1 należący do Cloudflare.

UPNP

UPNP

Kolejny protokół, który należy wyłączyć to UPnP. Został on stworzony dla wszystkich urządzeń IOT, które znajdują się w naszym mieszkaniu. Mowa tu więc o wszystkich inteligentnych czajnikach, oczyszczaczach powietrza czy też odkurzaczach. One to wysyłając odpowiednie dane do routera, mogą odblokować odpowiednie porty na firewallu– tak aby mogły działać prawidłowo. Tylko, że urządzenia IOT nie słyną z dobrego bezpieczeństwa. Umożliwianie dostępu do nich z zewnątrz niekoniecznie jest najlepszym pomysłem. Zwłaszcza, jeżeli nie jesteśmy w pełni świadomi tego faktu a czynność ta dzieje się bez naszego udziału. Porty te można również odblokować samemu.

Port forwarding

Sieć gościa

Zazwyczaj opcja ta kryje się pod nazwą “port forwarding”. Jeżeli nigdy z niej nie korzystałeś – sprawdź czy nie znajdują się tam dziwne wpisy. Droższe routery pozwalają na stworzenie dodatkowej sieci Wi-Fi – tak zwanej sieci gościa. Zazwyczaj, jest ona odseparowana od normalnej sieci WIFI – to znaczy, że urządzenia z jednej sieci nie widzą tych z tej drugiej. Teoretycznie sieć taka powstała, abyśmy mogli udostępnić domowy Internet naszym gościom, którzy przyszli na kilkugodzinną imprezę na nasze mieszkanie. Ale równie dobrze, można wykorzystać tą funkcję do udzielenia dostępu do Internetu urządzeniom, którym nie za bardzo ufamy. Chociażby urządzeniom IOT.

Aktualizacje

Pamiętajmy o aktualizacjach. Niektóre routery (chociażby firmy Mikrotik) mogą same zaktualizować swój system – tak jak robi to Windows. Warto umieścić router w niedostępnym dla postronnych osób miejscu.

Aktualizacje

Dlaczego? Niektóre urządzenia posiadają na swoich obudowach porty USB, do których można wpiąć routery LTE lub też inne kompatybilne nośniki. Wtedy cały nasz ruch może trafiać do serwera kontrolowanego przez atakującego. Co więcej, routery posiadają przycisk resetu, który usuwa wszystkie hasła i przywraca urządzenie do stanu fabrycznego. Stąd też, bezpieczeństwo zależy także od braku fizycznego dostępu do urządzenia.

Wyłącz również opcję odpowiadania na pakiety ping. W przypadku niektórych routerów warto “przeklikać”” się przez dostępne w panelu opcje. Dla przykładu NetGear zbiera anonimowe statystyki, które to można wyłączyć z poziomu odpowiedniej opcji. Jeżeli widzisz nazwę, której nie rozumiesz – najprawdopodobniej jej nie potrzebujesz.

Błędy bezpieczeństwa

Reset routera

A takich dodatkowych usług może być wiele: SSH, telnet, SNMP. Jeżeli dopiero stoisz przed wyborem odpowiedniego dla siebie urządzenia, warto przed zakupem przeprowadzić na jego temat krótkie poszukiwania. Wystarczy w wyszukiwarce użyć nazwy modelu i dodać słowo kluczowe „exploits”, „bug”, „vulnerability”. Dowiesz się wtedy czy na urządzenie nie ma obecnie jakiejś znanej, a nienaprawionej przez producenta luki.

Urządzenia tego typu często mają dość krótki czas życia. Zdarza się zatem, że błąd istnieje – został zgłoszony, ale producent nie zamierza go naprawić. Dlatego też warto sprawdzić, czy producent wydaje regularne aktualizacje oprogramowania. Samo istnienie błędu to nie koniec świata. Błędy bezpieczeństwa zdarzają się każdemu.

Sprawdź przed zakupem

Ważne jest natomiast jak szybko producent na nie reaguje i czy udostępnia odpowiednie łatki bezpieczeństwa. Większość urządzeń pozwala na zapisywanie logów ze swojego działania: w tym zdarzeń dotyczących bezpieczeństwa. Ale nie oszukujmy się, panel sterowania routerem to nie jest pierwsze miejsce, do którego trafiamy każdego poranka. Można więc rozważyć opcję wysyłania emaila – w przypadku specjalnych zdarzeń.

Lista komputerów

Sporo urządzeń pozwala na podgląd aktualnie podpiętych poprzez Wi-Fi komputerów – w tym nazw, którymi się one posługują. Jeżeli widzisz tam zbyt dużą liczbę laptopów, bądź też nie rozpoznajesz któregoś z nich – może pora na zmianę hasła? Nigdy nie wiadomo czy sąsiad nie wykorzystuje naszego połączenia.

Na koniec całej tej konfiguracji warto potwierdzić, czy rzeczywiście nic nam nie umknęło. Serwisy takie jak Shodan1 czy też Censys nieustannie skanują wszystkie adresy w Internecie, sprawdzając, co się na nich znajduje. Jeżeli w daną wyszukiwarkę wpiszemy nasz publiczny adres IP – powinniśmy otrzymać puste wyniki. Oznacza to bowiem, że żadna usługa nie jest dostępna z zewnątrz.

W innym wypadku – albo dane firmy są nieaktualne albo też musimy przyjrzeć się, dlaczego niektóre porty są dostępne.

Więcej informacji na ten temat można odnaleźć na stronie routersecurity.org2. Znajduje się tam kompletna lista punktów, które powinniśmy sprawdzić na naszym routerze.

I to już wszystko w tym odcinku. Podobało się? Pokaż odcinek znajomym. A ja już dzisiaj zapraszam do kolejnego odcinka. Cześć!