Время от времени приходится сталкиваться с необходимостью приобретения модема или маршрутизатора для домашних пользователей или небольших бедных компаний.

В данный момент на рынке представлен достаточно большой выбор подобного сетевого оборудования, поэтому в статье будет рассмотрено сетевое оборудование бюджетного класса (до 5000 рублей).

На первом этапе выбираем все варианты моделей, функционал которых удовлетворяет нашим требованиям.

модем2

Далее с помощью гуглозапроса «»Название_модели» +vuln» ищем известные уязвимости для конкретной модели.

модем3

Также можно заглянуть на сайты routerpwn.com, exploit-db.com, exploits.shodan.io и т.п.

Некоторые добросовестные производители закрывают найденные уязвимости, выпуская прошивки. Но это затратный для них процесс, поэтому техподдержка оборудования осуществляется порядка двух лет. Затем предлагают либо переходить на новое оборудование либо воспользоваться альтернативными прошивками типа OpenWRT.

На практике большинство сетевых устройств ниже 2000 рублей содержат уязвимости. Также не рекомендую приобретать китайское оборудование через интернет-магазины типа aliexpress, т.к. в них могут содержаться бекдоры. Ну и в случае поломки бесплатное сервисное обслуживание таких устройств не гарантировано.

Третьим шагом будет ознакомление с инструкциями по настройке либо эмуляторами веб-интерфейсов сетевых устройств (гуглозапрос «”Название производителя” эмулятор | симулятор») для получения информации о безопасных настройках. И то и другое можно найти на сайте производителя.

модем4

К безопасным настройкам могут относиться:

— смена имени пользователя/пароля;

— наличие межсетевого экрана;

— поддержка фильтрации по IP и MAC (будет не лишним наличие фильтрации по URL и правил для приложений);

— возможность отключения SNMP;

— возможность отключения UPnP;

— возможность отключения удаленного администрирования;

— возможность закрытия доступа из Интернета;

— возможность отключения WPS;

— скрытие SSID;

— поддержка типов аутентификации WPA-PSK/ WPA2-PSK;

— поддержка шифрования TKIP/AES;

— ограничение мощности сигнала.

Давайте разберемся, как эти настройки могут обеспечить нашу безопасность.
Использование установленного производителем по умолчанию пароля (например, «admin:admin» или «admin:1234») может предоставить злоумышленнику полный контроль над сетевым устройством. Кроме того, слабый пароль можно легко сбрутить, поэтому необходимо устанавливать стойкий пароль. Если вы будете подключаться к роутеру/маршрутизатору только из локальной сети, убедитесь, что отключены «ненужные» функции, к которым относятся удаленное управление, доступ из интернета по Telnet или SSH. Включайте SNMP и UPnP только, если они нужны в вашей сети. Об угрозах, которые они несут, можете почитать здесь и здесь. Поддержка фильтрации позволяет ограничить/предоставить доступ в интернет определенным устройствам (в том числе и удаленным). Кроме того, эти функции позволяют запретить посещение определенных веб-ресурсов или ограничить работу некоторых сетевых программ, таких как интернет-мессенджеры или торрент.

Теперь поговорим о настройках Wi-Fi.
Ограничение мощности сигнала усложнит взлом вашей сети либо вовсе не позволит обнаружить вашу сеть вне радиуса досягаемости. Сокрытие SSID (идентификатора сети Wi-Fi) в большей степени защитит от неумелых хакеров, т.к. уже имеется достаточное количество утилит, способных определить ваш SSID. Протокол WPS содержит уязвимость, позволяющую подобрать PIN-код, поэтому эту функцию также рекомендуется отключать. Ну а поддержка надежного шифрования и типов аутентификации позволит предотвратить перехват ваших данных.

В итоге вы получите недорогое и пока еще неуязвимое сетевое оборудование с наличием необходимых настроек безопасности.