Дыра в безопасности Wi-Fi: почему WPS опасен и как защитить свою сеть

Что такое WPS и зачем он нужен?

WPS (Wi-Fi Protected Setup) – это функция, присутствующая во многих современных роутерах, призванная упростить подключение устройств к беспроводной сети. Изначально WPS задумывался как благо: вместо того, чтобы вводить длинный и сложный пароль Wi-Fi, пользователь может нажать кнопку на роутере и на подключаемом устройстве, и они автоматически «договорятся» о соединении. Звучит удобно, но на практике WPS стал одной из самых больших уязвимостей в безопасности домашних Wi-Fi сетей.

Важно понимать, что WPS – это не сам Wi-Fi. WPS – это лишь дополнительный механизм подключения, работающий поверх основного протокола безопасности Wi-Fi (WPA2 или WPA3).

Как работает WPS?

Существует несколько способов подключения через WPS:

• Push Button Connect (PBC) – нажатие кнопки. Это самый распространенный метод. Пользователь нажимает кнопку WPS на роутере, а затем в течение короткого промежутка времени (обычно 2 минуты) нажимает кнопку WPS на устройстве, которое хочет подключить. Роутер в этот период открыт для новых подключений.
• PIN-код. Этот метод менее безопасен. Существует два варианта:
• PIN-код роутера (вводится на устройстве): На подключаемом устройстве (например, смартфоне или ноутбуке) вводится 8-значный PIN-код, который обычно указан на наклейке на корпусе роутера.
• PIN-код устройства (вводится в настройках роутера): Подключаемое устройство генерирует PIN-код, который нужно ввести в веб-интерфейсе настроек роутера.

Почему WPS опасен?

Уязвимость метода нажатия кнопки (PBC)

Казалось бы, вероятность того, что кто-то посторонний одновременно с вами нажмет кнопку WPS на своем устройстве и на вашем роутере в течение двух минут, крайне мала. Однако злоумышленник может написать простую программу, которая будет пытаться подключиться к роутеру каждые 10 секунд, если на роутере активирован WPS.

Уязвимость PIN-кода

8-значный PIN-код WPS уязвим для атак методом перебора (brute-force). Существуют специализированные программы, которые могут относительно быстро подобрать этот PIN-код, открывая злоумышленнику полный доступ к вашей Wi-Fi сети. Более того, некоторые роутеры не отключают PIN-метод WPS, даже если в настройках есть соответствующая опция. Это делает их постоянно уязвимыми.

Общая уязвимость WPS

Даже если вы используете только метод нажатия кнопки и только на короткое время, злоумышленник, находящийся поблизости в этот момент, может перехватить данные и скомпрометировать вашу сеть.

Как отключить WPS?

Из-за серьезных уязвимостей безопасности настоятельно рекомендуется отключить WPS на вашем роутере. Способ отключения зависит от производителя и модели роутера.

Общая процедура отключения WPS

• Войдите в веб-интерфейс роутера. Обычно это делается путем ввода IP-адреса роутера в адресную строку браузера. Наиболее распространенные адреса:

• 192. 168. 1. 1
• 192. 168. 2. 1
• 192. 168. 0. 1
• 192. 168. 10. 1
• www. routerlogin. net (для некоторых моделей Netgear)

Если ни один из этих адресов не подходит, поищите информацию в инструкции к вашему роутеру или на сайте производителя.

• Авторизуйтесь. Вам понадобятся имя пользователя и пароль для доступа к настройкам роутера. Заводские настройки (если вы их не меняли) часто бывают стандартными (например, admin/admin, admin/password или имя пользователя admin с пустым паролем). Информацию о заводских настройках можно найти в инструкции к роутеру или на сайте производителя.
• Найдите настройки WPS. Обычно они находятся в разделе «Беспроводная сеть» («Wireless»), «Расширенные настройки» («Advanced Settings») или что-то подобное. Название раздела и расположение настроек может отличаться в зависимости от модели роутера.

• Отключите WPS. Опция отключения может называться «Disable Router's PIN» (Отключить PIN-код роутера), «Disable WPS» (Отключить WPS) или представлять собой переключатель.
• Сохраните изменения. Обязательно нажмите кнопку «Применить» («Apply») или «Сохранить» («Save»), чтобы изменения вступили в силу.

Инструкции для популярных производителей роутеров

• Cisco: Войдите в веб-интерфейс, перейдите в раздел Wireless > Wi-Fi Protected Setup, выберите Off и нажмите Save.
  
  
  
  
  
• ASUS: Войдите по адресу 192. 168. 1. 1 (логин/пароль по умолчанию admin/admin), перейдите в *Advanced Settings > Wireless > WPS* и переключите «Enable WPS» в положение «Off».
  
  
• Belkin: Войдите по адресу 192.168.2.1 или https://router, нажмите Login, введите пароль (по умолчанию – пустое поле), перейдите в Wireless > Wi-Fi Protected Setup, установите значение «Disabled» и нажмите Apply Changes.
  
  
• D-Link: Войдите по адресу 192. 168. 1. 1 (логин по умолчанию admin, пароль – пустое поле), перейдите в Setup > Wi-Fi Protected Setup, снимите флажок «Enable» и нажмите Save settings.
  
  
• Netgear: Войдите по адресу www. routerlogin. net (логин по умолчанию admin, пароль password), перейдите в Advanced Setup > Wireless Settings, снимите флажок «Disable Router's Pin» и нажмите Apply. (Внимание! На некоторых моделях, например, DGN1000, эта опция может быть неактивна, и отключить WPS невозможно!)
  
  
  
  
  
• Trendnet: Войдите по адресу 192. 168. 10. 1 (логин/пароль по умолчанию admin/admin), перейдите в Wireless > WPS, установите значение «Disable» и нажмите Apply.
  
  
• ZyXEL: 192. 168. 0. 1, логин по умолчанию — admin, пароль по умолчанию — 1234. Выберите «Настройка беспроводной сети». Выберите WPS. Нажмите синюю кнопку, чтобы отключить WPS.
  
  
• Apple Airport: На устройствах Apple Airport функция WPS отсутствует.
  
  
• Buffalo: Роутеры Buffalo не подвержены проблеме WPS.
  
  
  
  
  
• Linksys: Теоретически, роутеры Linksys предотвращают атаки методом перебора PIN-кода. Отключить WPS невозможно.
  

Особый случай: модемы Ignite (Rogers/Comcast)

В модемах Ignite, предоставляемых провайдерами Rogers и Comcast, опция отключения WPS была удалена из пользовательского интерфейса. Единственный способ полностью контролировать безопасность Wi-Fi в этом случае – отключить Wi-Fi на самом модеме Ignite и использовать внешние точки доступа или перевести модем в режим моста (Bridge Mode) и использовать свой собственный роутер с полноценными настройками безопасности.

Альтернативы WPS и дополнительные меры безопасности

Надежный пароль и шифрование (WPA2/WPA3)

Это самая важная мера безопасности.

• Используйте современный протокол шифрования WPA2 (Wi-Fi Protected Access 2) или WPA3. Ни в коем случае не используйте WEP (Wired Equivalent Privacy) – он взламывается за считанные минуты.
• Создайте сложный и уникальный пароль. Он должен содержать не менее 15 символов, включая заглавные и строчные буквы, цифры и специальные символы.
• Еще лучше использовать фразу-пароль (passphrase) – последовательность из нескольких случайных слов. Например, фраза из 6-8 случайных слов практически неуязвима для взлома.

Обновление прошивки роутера

Производители роутеров регулярно выпускают обновления прошивки (firmware), которые исправляют ошибки и уязвимости в безопасности. Регулярно проверяйте наличие обновлений и устанавливайте их.

Смена заводских логина и пароля

Обязательно смените заводские имя пользователя и пароль для доступа к веб-интерфейсу роутера на что-то надежное и уникальное. Заводские настройки часто бывают общеизвестными (например, admin/admin), и злоумышленники могут воспользоваться этим.

Фильтрация по MAC-адресам (не рекомендуется)

MAC-адрес – это уникальный идентификатор сетевого устройства. Теоретически, можно настроить роутер так, чтобы он разрешал подключение только устройствам с определенными MAC-адресами. Однако на практике эта мера малоэффективна, так как MAC-адрес легко подделать (спуфить). Кроме того, управлять списком разрешенных MAC-адресов неудобно.

Скрытие SSID (не рекомендуется)

SSID – это имя вашей Wi-Fi сети. Можно настроить роутер так, чтобы он не транслировал SSID в эфир. Однако это не является надежной защитой, так как SSID все равно можно обнаружить с помощью специальных программ. Кроме того, скрытие SSID может затруднить подключение новых устройств.

Ограничение количества подключенных устройств

В настройках роутера можно установить максимальное количество устройств, которым разрешено подключаться к сети.

Просмотр журналов доступа

Включите ведение журналов (логов) доступа к роутеру. Это позволит вам отслеживать, какие устройства подключались к вашей сети.

Ограничение доступа по времени

Некоторые роутеры позволяют настроить расписание работы Wi-Fi, например, отключать сеть в ночное время.

Изоляция беспроводных клиентов

Эта функция запрещает беспроводным устройствам обмениваться данными напрямую друг с другом.

Уменьшение мощности сигнала

Если ваш роутер позволяет, уменьшите мощность Wi-Fi сигнала, чтобы ограничить радиус действия вашей сети.

Использование стороннего роутера (режим моста)

Если ваш роутер, предоставленный интернет-провайдером, имеет ограниченные возможности настройки безопасности, вы можете перевести его в режим моста (Bridge Mode) и подключить к нему свой собственный роутер с более широким функционалом.

Чем грозит несанкционированный доступ к Wi-Fi?

Если злоумышленник получит доступ к вашей Wi-Fi сети, он сможет:

• Перехватывать незашифрованный трафик (HTTP): Злоумышленник сможет видеть данные, передаваемые по незащищенным соединениям HTTP (например, при посещении сайтов без HTTPS).
• Использовать вашу сеть для незаконных действий: Например, скачивать пиратский контент, что может привести к юридическим проблемам для владельца сети.
• Пытаться взломать устройства в вашей сети.
• Получить доступ к общим ресурсам: Например, к файлам на общих жестких дисках.
• Осуществлять атаки «человек посередине» (Man-in-the-Middle): Злоумышленник может перехватывать и изменять данные, которыми обмениваются устройства в вашей сети.
• Изменять настройки роутера: Если вы не сменили заводские логин и пароль, злоумышленник сможет получить полный контроль над вашим роутером.

Дополнительная информация

•    Что такое Wi-Fi 6 и действительно ли Wi-Fi 6 лучше? Wi-Fi 6 (также известный как 802. 11ax) — это самая последняя версия Wi-Fi.
  
•    Покупка или аренда роутера. Стоит ли вам инвестировать в собственное интернет-оборудование и покупать роутер вместо того, чтобы арендовать его у своего интернет-провайдера (ISP)?
  
•    Что такое роутер? Маршрутизатор — это небольшая коробка, которая преобразует данные с вашего модема для передачи сигнала Wi-Fi на устройства в вашей локальной сети.
  
•    В чем разница между модемом и кабельным модемом? Модем и кабельный модем — это разные устройства из-за услуг, к которым они подключаются.
  
•    Как настроить кабельный модем? Существуют различия в настройке кабельного модема в зависимости от того, приобрели вы устройство или взяли его в аренду.
  

Заключение

WPS – удобная, но крайне небезопасная функция. Отключите ее на своем роутере и примите дополнительные меры для защиты вашей Wi-Fi сети. Помните, что безопасность вашей сети – это ваша ответственность.