Bezpečné nastavení domácího routeru

5. listopadu 2015

S narůstajícím počtem zařízení schopných připojení k Internetu narostl také počet routerů v domácnostech. Router je zařízení, které umožňuje právě připojení více počítačů, přehrávačů videa, televizí, herních konzolí, tabletů a mobilních telefonů přes jedno připojení k Internetu. Někdy můžete toto zařízení dostat od svého poskytovatele, někdy si jej koupíte sami. Zařízení je obvykle přes tzv. WAN port připojeno k Internetu, zatímco do LAN portů zapojujete počítače a další zařízení. Dnešní routery již také v naprosté většině případů obsahují integrovaný přístupový bod WiFi. Ač často tato zařízení dokáží fungovat i bez provedení jakékoliv konfigurace, pouhým zapojením do správných portů, rozhodně se vyplatí věnovat čas jejich nastavení a údržbě.

Změna výchozího hesla

Velice důležitá věc, na kterou se často zapomíná. Po zapojení routeru je potřeba se vždy přihlásit na jeho konfigurační rozhraní (informace o tomto rozhraní najdete v manuálu k vašemu zařízení) a v něm provést změnu hesla. Jak si vytvořit kvalitní heslo, si můžete přečíst například zde. Mnoho útočníků dnes pomocí automatizovaných nástrojů prohledává Internet a hledá v něm routery, u kterých zůstalo nastavené původní heslo z výroby. Takovéto opomenutí uživatele pak dokáží patřičným způsobem využít ve svůj prospěch.

Zakažte přístup ke konfiguračnímu rozhraní z Internetu

I když na většině zařízení je ve výchozím nastavení přístup ke konfiguračnímu rozhraní přes WAN port, tedy z Internetu, zakázán, určitě toto nastavení zkontrolujte. U levnějších zařízení se vám také může stát, že tuto položku v konfiguraci vůbec nenajdete. Pokud je to případ i vašeho zařízení, pak určitě otestujte, zda není konfigurační rozhraní z Internetu dostupné. Bohužel se takováto zařízení čas od času objeví a pokud se v konfiguračním rozhraní objeví nějaká chyba, pak je na problém zaděláno. O kontrolu dostupnosti konfiguračního rozhraní z Internetu můžete požádat uživatele v jiné sítí než je vaše domácí síť, či to zkusit z jiného připojení (např. chytrý telefon s mobilním Internetem). Nejprve zjistěte, jakou máte od svého poskytovatele přidělenu IP adresu. To zjistíte například tak, že v prohlížeči na zařízení připojeném prostřednictvím vašeho domácího routeru navštívíte například stránku whatismyip.com. Na té se vám zobrazí vaše IP adresa. Tu pak zadáte vy, nebo uživatel, kterého jste požádali o pomoc, do prohlížeče. Pokud se zobrazí přihlášení do konfiguračního rozhraní vašeho routeru, pak je potřeba provést ještě zablokování přístupu k danému portu přes WAN rozhraní pomocí ACL (Access control list). Doporučujeme obrátit se případně na zkušenějšího uživatele, abyste si nedopatřením přístup do konfiguračního rozhraní neodřízli úplně. Pokud by se vám to stalo, bude potřeba pomocí příslušné procedury vrátit router do továrního nastavení a začít s jeho konfigurací nanovo.

Záplatujte

Lepší výrobci domácích routerů vydávají pro svá zařízení nové verze firmware (tedy vlastně takový kompletní software ovládající náš router), které mohou přinášet nové funkce, větší výkon, ale především opravy nebezpečných chyb. U některých routerů najdete možnost lehce provést update z jejich konfiguračního rozhraní, u některých je potřeba po nových verzích pátrat na stránkách výrobce. I nově koupený router může z různých důvodů obsahovat starší firmware, proto by dalším krokem po zprovoznění routeru měl být právě případný update firmware. Aktuální verzi nainstalovanou v zařízení obvykle najdete někde přímo v konfiguračním rozhraní routeru. Tím však péče o softwarové vybavení routeru nekončí a je vhodné čas od času zkontrolovat, zda výrobce nevydal novou verzi.

Bezpečná WiFi

Hodně routerů mívá ve výchozím nastavení přístupnou Wi-Fi síť bez jakéhokoliv zabezpečení. Proto by jedna z prvních věcí, které uděláte, mělo být zapnutí zabezpečení pomocí WPA2-PSK s šifrováním AES. Pokud zvolíte dostatečně silné heslo, měla by být vaše WiFi dostatečně chráněna. Je však potřeba pamatovat ještě na jednu věc. Pokud ji zrovna nepoužíváte, vypněte na vašem routeru podporu WPS. Kvůli chybě v implementaci totiž může útočník PIN, používaný pro ověření přístupu, zjistit za přibližně dvanáct hodin. Je také vhodné pozměnit výchozí název WiFi sítě, známý jako SSID. Za prvé ponecháním výchozího názvu říkáte útočníkovi s jakým zařízením má tu čest, za druhé, pro známé názvy WiFi sítí existují před počítané tabulky hesel (tzv. rainbow tables), které usnadňují provedení útoku na WiFi síť a získání vašeho hesla. Nastavení WiFi může skrývat ještě jednu záludnost. Někteří poskytovatelé Internetu v České republice mohou z různých důvodů dodávat svým klientům routery s předkonfigurovanou WiFi, která nemusí být na první pohled patrná. Pokud tedy váš router umožňuje definovat více různých WiFi sítí, určitě se vyplatí podívat se do konfiguračních záložek dalších WiFi sítí, zda tam náhodou takováto předdefinovaná síť není. Problém je, že jeden z nejrozšířenějších poskytovatelů využívá u těchto předkonfigurovaných sítí snadno odvoditelné heslo a vy se tak můžete stát nedobrovolnými poskytovateli internetového připojení se všemi z toho případně plynoucími důsledky.

Vnitřní síť

Útočník může na router zaútočit nejen prostřednictvím rozhraní WAN, ale například i pomocí skriptu, nahraného v rámci stránek, které si právě prohlížíte v prohlížeči. Doporučuje se proto povolit přístup k administračnímu rozhraní pouze z jednoho počítače ve vaší síti, abyste tak minimalizovali riziko.

Vypněte UPnP

UPnP je protokol umožňující vašim programům mimo jiné jednoduše měnit nastavení routeru, konkrétně otevřených portů, které tyto programy potřebují pro svou komunikaci. Ač používání UPnP ulehčuje uživatelům práci tím, že nemusí ručně konfigurovat přesměrovávání portů pro jednotlivé aplikace na routeru ručně, je lepší jej vypnout. Jeho implementace v různých domácích routerech je totiž často děravá. Pokud tedy používáte nějaký komunikační program, BitTorrent klienta či máte doma spuštěn herní server, vždy je lepší provést přesměrování potřebných portů ručně. Požádejte zkušenějšího uživatele, aby vám ukázal, jak na to, a uvidíte, že to není tak složité. A když vás to navíc ochrání před možným útokem, pak se to vyplatí.

Buďte opatrní

Bohužel, v domácích routerech jsou čas od času objevovány chyby, před kterými vás neochrání ani dobré heslo, ani poslední verze firmware (obvykle jednoduše proto, že výrobce již vaše zařízení nepodporuje a proto pro něj ani nevydává záplaty). Proto je potřeba při používání Internetu sledovat i případné vedlejší efekty zdařilého útoku, jako je neobvyklé chování námi navštěvovaných stránek (například podezřelá nabídka update Flash Playeru či jiného programu) či třeba absence HTTPS spojení tam, kde by bylo žádoucí, a tam, kde jste jej doposud vždy měli (např. Internet banking).

Pokud uvažujete o koupě nového routeru, může vás zaujmout Turris Omnia nebo modulární Turris Mox od kolegů z Labs NIC.CZ.