В данном примере рассмотрим настройку проброса портов на роутере Asus RT-N12VP. Также используется видеорегистратор фирмы Rvi. В данном случае мы уже знаем ip видеорегистратора - 192.168.2.221. Теперь нужно зайти в настройки роутера, адрес роутера 192.168.2.254. В вашем же случае как правило на Asus - 192.168.1.1, но тут уже смотрите и уточняйте на месте. Его адрес можно ещё узнать, подключив компьютер/ноутбук к роутеру и посмотреть в настрой сети какой был получен адрес шлюза - это и есть адрес роутера.
Сведения о подключении(пример):
И так мы знаем ip адрес роутера, открываем браузер и вводим его адрес, 192.168.2.254, появляется окно авторизации вводим логин и пароль. Попадаем на главную страницу. Теперь для настройки проброса портов в левом меню нажимаем на Интернет
Теперь сверху нажимаем на Переадресация портов
Ставим точку на Включить переадресацию портов. Снизу появится возможность прописать порты переадресации. В нашем случае на видеорегистратор RVi нужно пробросить порты TCP 37777 и UDP 37778, поэтому в поле Имя службы пишем наименование службы, например nvr1, диапазон портов 37777, Локальный IP-адрес - прописываем или выбираем из списка ip адрес видеорегистратора(в моё случае это 192.168.2.221). Локальный порт - 37777, протокол - TCP. Нажимаем плюс. По аналогии делаем тоже самое с портом UDP 37778.
Добрый день, дорогие читатели. Недавно я купил в офис новый роутер, а именно Asus RT-N14U и передо мной встала задача пробросить порты для RDP сессий на порт 3389 и порты для torrent, т.к. торренты ни в какую не хотели грузиться (по всей вероятности их блокировал Firewall маршрутизатора). Как многим известно RDP сессии используют протокол TCP, а скачивание файлов с торрент — трекеров происходит через UDP протокол.
Первым делом я изменил порт входящих соединений в uTorrent. Для этого заходим в прогамму и переходим во вкладку Настройки — Настройки программы.
Затем нажимаем ОК и перезапускаем программу uTorrent.
Стандартным IP адресом если его не менять является адрес 192.168.1.1
Маршрутизатор предлагает ввести нам учетные данные (пользователь/пароль)
Вводим эти данные и попадаем на веб интерфейс нашего маршрутизатора
В данной вкладке заполняем следующее:
Выбираем включить переадресацию портов ДА, далее в нижней части заполняем следующий данные:
Имя службы — RPD
Диапазон портов — 3389
Локальный IP адрес — адрес компьютера на который будет происходить подключение (адрес Вашего ПК, сервера и т.д)
Локальный порт — 3389
Протокол — TCP
(Для торрент трекеров соответственно вводим имя torrent, порт который указали в программе (в моем случае 11111), локальный IP, локальный порт (11111), протокол UDP (чтобы быть наверняка уверенным в правильности выполнения можно указать оба протокола BOTH )
После того как вы нажали кнопку Применить роутер перезагрузится и применит наши новые правила переадресации портов.
Нажимаем Win+R , появляется окно Выполнить.
Прописываем в нем mstsc и нажимаем ENTER
Появляется окно:
Вводим IP адрес ПК на который мы делали переадресацию и нажимаем подключить.
Если мы сделали все верно мы увидим окно с предложением ввести пользователя и пароль
Это успех.
Теперь проверяем как работает скачивание файлов через торрент трекеры. Скачиваем и запускаем магнет ссылку и смотрим пошла ли загрузка:
Скачивание пошло, а это значит что мы все сделали правильно.
На этом статья про переадресацию (проброс) портов на маршрутизаторе ASUS RT-N14U подошла к концу, если мне удалось Вам помочь, я очень рад.
Подключитесь к веб интерфейсу роутера D-Link и нажмите клавишу "Расширенные настройки".
Выберите "Виртуальные серверы" в разделе "Межсетевой экран".
В открывшемся окне нажмите "Добавить".
В открывшемся окне задайте необходимые параметры виртуального сервера. И нажмите кнопку "Изменить".
Шаблон
- В раскрывающемся списке выберите один из шести приведенных шаблонов виртуальных серверов или выберите значение Custom (пользовательский), чтобы самостоятельно определить параметры виртуального сервера.
Имя
- Название виртуального сервера для удобной идентификации. Может быть произвольным.
Интерфейс
- Соединение, к которому будет привязан создаваемый виртуальный сервер.
Протокол
- Протокол, который будет использовать создаваемый виртуальный сервер. Выберите необходимое значение из раскрывающегося списка.
Внешний порт (начальный)/ Внешний порт (конечный)
- Порт маршрутизатора, трафик с которого будет переадресовываться на IP-адрес, определяемый в поле Внутренний IP. Задайте начальное и конечное значения диапазона портов. Если необходимо указать только один порт, задайте его в поле Внешний порт (начальный) и не заполняйте поле Внешний порт (конечный).
Внутренний порт (начальный)/ Внутренний порт (конечный)
- Порт IP-адреса, задаваемого в поле Внутренний IP, на который будет переадресовываться трафик с порта маршрутизатора, задаваемого в поле Внешний порт. Задайте начальное и конечное значения диапазона портов. Если необходимо указать только один порт, задайте его в поле Внутренний порт (начальный) и не заполняйте поле Внутренний порт (конечный).
Внутренний IP
- IP-адрес сервера, находящегося в локальной сети. Вы можете выбрать устройство, подключенное к локальной сети маршрутизатора в данный момент. Для этого в раскрывающемся списке выберите соответствующий IP-адрес (при этом поле заполнится автоматически).
Удаленный IP
- IP-адрес сервера, находящегося во внешней сети (в большинстве случаев данное поле необходимо оставить пустым).
Чтобы задать другие параметры для существующего сервера, выделите соответствующий сервер в таблице. На открывшейся странице измените необходимые параметры и нажмите кнопку «Изменить».
Чтобы сохранить существующее правило, нажмите на кнопку "Система" и затем "Сохранить".
Проброс портов на роутерах TP-link.
Зайдите на веб интерфейс роутера TP-Link. Перейдите в меню "Переадресация" - "Виртуальные серверы". Нажмите кнопку "Добавить новую".
Заполните поля:
Порт сервиса
- Сетевой порт, по которому пользователи будут заходить на ваш сервис.
Внутренний порт
- Внутренний порт, по которому доступен ваш сервис (внутри вашей локальной сети).
Примечание: Порт сервиса и Внутренний порт могут быть разными.
IP-адрес
- Локальный IP-адрес вашего сервиса, выданный маршрутизатором.
Сохраните настройку, нажав кнопку "Сохранить".
Проброс портов на роутерах ASUS.
Зайдите на веб интерфейс роутера Asus, выберите в меню "Интернет" - вкладка "Переадресация портов", в самом низу страницы заполните поля.
Имя службы - произвольное имя службы.
Диапазон портов - укажите порты с которых роутер будет перенаправлять входящие соединения, например диапазон портов 1000:1050 или отдельные порты 1000, 1010 или смешанный 1000:1050, 1100.
Локальный адрес - адрес на который будет переадресовывать роутер.
Локальный порт
- номер порта на машине с IP
Протокол - соединения какого типа следует отлавливать роутеру.
После указания всех настроек нажмите "Плюс", что бы добавить правило, после этого сохраните настройки и нажмите кнопку "Применить".
Проброс портов на роутерах Zyxel.
Зайдите на веб интерфейс роутера Zyxel. Зайдите в меню "Безопасность" - "Трансляция сетевых адресов (NAT)". Нажмите "Добавить правило".
В новом диалоговом окне заполните следующие пункты.
Внимание! Необходимо правильно указать значение поля Интерфейс
. В зависимости от того, использует ли ваш провайдер авторизацию (PPPoE, L2TP или PPTP), значение этого поля может быть различным. Если авторизация у провайдера не используется, следует всегда выбирать интерфейс Broadband connection (ISP). Если провайдер использует PPPoE для доступа в Интернет, то следует выбирать соответствующий интерфейс PPPoE.
Если вам предоставляется одновременный доступ в локальную сеть провайдера и Интернет (Link Duo), для проброса порта из локальной сети нужно выбирать интерфейс Broadband connection (ISP), а для проброса порта из Интернета - интерфейс туннеля (PPPoE, PPTP или L2TP).
Пакеты на адрес – данное поле активно, когда не выбран никакой интерфейс. Вы можете указать внешний IP-адрес интернет-центра, на который будут приходить пакеты. В подавляющем большинстве случаев данный пункт вам не пригодится.
В поле Протокол можно указать протокол из списка предустановленных, который будет использован при пробросе порта (в нашем примере используется TCP/21 – Передача файлов (FTP)). При выборе в поле Протокол значения TCP или UDP вы можете в полях Порты TCP/UDP указать номер порта или диапазон портов.
В поле Перенаправить на адрес укажите IP-адрес устройства в локальной сети, на который осуществляется проброс порта (в нашем примере это 192.168.1.33).
Новый номер порта назначения – используется для "подмены порта" (для маппинга порта, например с 2121 на 21). Позволяет транслировать обращения на другой порт. Обычно не используется.
После заполнения нужных полей нажмите кнопку Сохранить.
В данном случае, указаны правила для перенаправления порта 4000 по TCP и UDP протоколу.
В результате, в настройках "Безопасность" должно появиться окно с правилами переадресации для tcp/4000 и udp/4000.
В комплекте с роутером будет идти кабель RJ-45 . Для первой настройки роутера стоит соединить его с компьютером с помощью этого кабеля, а затем уже подключать другие гаджеты. Один конец кабеля надо воткнуть в LAN порт роутера, а другой в сетевой адаптер компьютера. Обычный роутер имеет сзади 5 сетевых портов: 1 WAN (Wide Area Network), в который необходимо вставить кабель интернета и 4 LAN , через которые можно подключить другие устройства. WAN порт обычно выделен отдельно от LAN, например, другим цветом. Собственно, сздаи Вы можете обнаружить еще много чего, например кнопку сброса настроек, выходы для антенн, USB порты, однако об этом уже в другой статье:)
Чтобы приступить к настройки роутера необходимо выполнить несколько шагов, если они не были сделаны заранее. Заходим в Панель управления\Сеть и Интернет\Сетевые подключения , на Вашем адаптере клацаем ПКМ и выбираем Свойства. Здесь выбираем Протокол интернета версии 4(TCP/IPv4) и снова нажимаем Своства. Настройки выставить в соответствии со скришотами.
Итак, как только Вы подключили кабель интернета в роутер, соединили его с компьютером и выполнили все необходимые предустановки, можно начинать настройку роутера. Изначально, все маршрутизаторы Asus имею стандартный IP для доступа - 192.168.1.1. Поэтому необходимо открыть любой браузер и в адрессную строку ввести данный IP. Если все выполнено правильно, то перед Вами высветится окно с преложением ввести имя пользователя и пароль .
Все параметры стандартные, однако потом их можно будет изменить на свои. Вводим Имя пользователя: admin и Пароль: admin. Если Вы сбросили настройки или настраиваете роутер впервые, перед Вами появится Мастер , где надо будет указать новый пароль доступа,а потом он сам попытается определить тип соединения и затем поможет настроить Wi-Fi. Если все пройдет успешно, откроется главное меню.
Если же у Вас не получилось настроить интернет автоматически, то в меню Дополнительные настройки необходимо перейти во вкладку Интернет - http://192.168.1.1/Advanced_WAN_Content.asp и настроить все самостояльно (Все настройки можно узнать у своего провайдера).
Настройка Wi-Fi
Для этого необходимо перейти во вкладку Беспроводная сеть - http://192.168.1.1/Advanced_Wireless_Content.asp , здесь выбираем частотный диапозон(если роутер может работать на нескольких частотах), который надо настроить, а затем приступаем к настройкам. Если Ваша сеть будет под паролем, то настройки я советую выставить как у меня, а ключ сменить на свой самостоятельно.
Если же Вы хотите сделать общедоступную сеть, то в графе Метод проверки подлинности выбираем Open System.
Параметр Скрыть SSID позволит убрать сеть из общего списка, а доступ к ней будет осуществляться только после ввода ее названия.
Настройка IPTV
Для этого необходимо перейти во вкладку Локальная сеть и там найти настройки IPTV - http://192.168.1.1/Advanced_IPTV_Content.asp . Все параметры для настройки Вы можете узнать в вашего провайдера.
Как открыть порты на роутере Asus
Чтобы открыть порты необходимо перейти во вкладку Интернет и там зайти в папку Переадресация портов - http://192.168.1.1/Advanced_VirtualServer_Content.asp . Здесь Вы можете как открыть порты, так и переадрессовать их на свой внешний IP.
Включаем данную функцию при помощи флажка. Здесь также можно поменять порт FTP сервера, встроенного в роутер и задать стандартные настройки для серверов и игр.
Чтобы задать свои настройки переадресации необходимо ввести их в табличку ниже.
Имя службы можно задать любое, но латинскими буквами. В поле Диапозон портов необходимо указать порты, которые Вы хотите переадресовать или открыть.
Можно указать как один, так и несколько(через запятую) или если порты идут подряд, можно укзаать через : , например 27015:27030.
В поле Локальный адрес указывается IP адрес устройства в локальной сети для которого будут применяться настройки.
Если Вы открываете порты, поле Локальный порт можно не трогать. Затем следует указать Протокол. Там 4 фиксированных значения: TCP , UDP , BOTH (включает и TCP, и UDP) и OTHER.
Обычно разработчики указывают порты с протоколами, которые надо открыть. Однако если Вам дан только лишь порт, то в большинстве случаев выбор протокола BOTH поможет Вам.
После указания всех настроек нажимаем на + , а затем на кнопку в конце таблицы, все Ваши изменения будут сохранены.
Если Вам помогла данная статья или у Вас возникли трудности, то напишите об этом в комментариях. И не забывайте делиться статьей со своими друзьями в соц.сетях;)
P.S.
Статья является копирайтом,так что если Вы ее копируете,не забудьте вставить активную ссылку на сайт автора,то есть на этот:)
, Поделитесь статьей в социальных сетях - поддержите сайт!TechnoDrive неоднократно писал о том, что защищать WiFi-роутер необходимо, и что это должно быть главной заботой администратора домашней сети. С чего бы это, спросите вы? Ведь информация на маршрутизаторе обычно не хранится! Это так, однако через роутер проходят ваши данные, и на взломанном устройстве они могут быть перехвачены или перенаправлены. После чего, к примеру, вы предоставите свой логин и пароль вовсе не любимой социальной сети или банку, а введёте его на поддельной страничке злоумышленников (напоминающую нужную лишь дизайном). Недавно автор был свидетелем того, как роутер Asus в домашней сети был взломан в ходе обычного просмотра фильма из Интернета на планшете. Давайте подумаем, как этого можно было избежать?
Для безопасной настройки роутера веб-интерфейса недостаточно
Итак, роутер Asus был взломан через Интернет при обычном просмотре фильма онлайн на планшете в домашней сети. Гаджет, соответственно, был подключён по WiFi. При этом, на планшете использовался фирменный браузер, - без всяких плагинов, - с самой свежей версией модной ОС.
Казалось бы, ничто не предвещало беды! Ведь маршрутизатор был защищён длинным паролем, telnet-доступ (как и администрирование через браузер из Интернета) были заблокированы, беспроводная сеть была доступна только для доверенных MAC-адресов, а для шифрования использовалось технология WPA2-PSK (AES). Идентификатор сети SSID был скрыт (и так далее).
Однако настройка роутера Asus была изменена прямо с веб-страницы «кинотеатра», после чего Интернет пропал, а после перезагрузки роутера связь возобновилась с досадным «нововведением». Пароль для админки роутера уже не работал!
Этот случай ярко продемонстрировал, что должна включать в себя не только обязательные манипуляции с веб-интерфейсом, но и нечто большее!
И связано это с тем, что производители домашних маршрутизаторов не всегда предоставляют новые прошивки вовремя, а со старым программным обеспечением часто содержат известные хакерам уязвимости.
Как же всё-таки не дать взломать роутер?
0. Прежде всего, следуйте инструкциям из текста по ссылке, нужный раздел называется (иначе дальше можно не читать).
1. Тщательно поищите в Интернете, не входит ли производитель вашего WiFi-роутера в заголовки новостей про уязвимости.
Пример запроса на английском языке: «asus router vulnerability» (на русском информация может запаздывать).
Вендор «засветился»? Надо действовать! Причём, действовать даже в том случае, если используется другая модель WiFi-роутера, чем в обзорах (вашу могли не успеть протестировать, либо тестер живёт в стране, где она не продаётся).
Внимание! Дальнейшие действия вы выполняете на свой страх и риск. Автор не может предугадать последствий для всех роутеров всех производителей при настройке всех версий операционных систем. Перепрошивка и iptables - это серьёзно, есть шанс поломать устройство так, что не восстановит и сервисный центр! Особенно это касается перепрошивок!
2. Если засвеченная в Инете уязвимость «лечится» новой прошивкой, попробуйте поменять прошивку. Не торопитесь, внимательнейшим образом прочтите инструкции на сайте производителя!
Совет: под рукой желательно иметь запасной рабочий WiFi-маршрутизатор, если перепрошивка «превратит в кирпич» (или временно сделает недоступным) вашего основного «пациента». Либо, как минимум, нужен альтернативный доступ в Интернет с мобильного устройства, не привязанного к «локалке» и WiFi.
Подсказка: мы не рекомендуем использовать «альтернативные» прошивки, хотя бы потому, что в них уязвимости тоже встречаются. Альтернативные прошивки - это вовсе не панацея против взлома (хотя, конечно, некоторые из них допускают более тонкие настройки безопасности)
Настройка маршрутизатора: вначале - обязательная проверка сброса параметров через выключение и включение
Дальше начинается самое интересное! Чтобы предотвратить взлом роутера, мы вручную защищаем его порты для того, чтобы заражённый планшет, смартфон, Smart TV или «умный холодильник» не смогли добраться до админки WiFi-роутера. Конечно, это не гарантия 100%, но здорово затрудняет работу вредоносным скриптам!
Прежде всего, нужно убедиться в том, что к маршрутизатору есть доступ через Telnet, и что наши новые дополнительные настройки сбросятся, если выключить и включить роутер!
1. Убедитесь в том, что у вас есть доступ к роутеру по Телнету. Для это узнайте IP-адрес роутера. Нажмите «Пуск» - «Выполнить» - введите «cmd» - «Enter» - введите «ipconfig /all» - «Enter». «Основной шлюз» - это и есть айпишник роутера.
Команда для Linux: «route -n», ищите второй IP в первой строке.
2. Попробуйте зайти в роутер через Telnet, наберите в чёрном окне терминала: «telnet IP_адрес_роутера» (к примеру, 192.168.1.2).
Кстати, доступ через Telnet должен быть предварительно разрешён через веб-интерфейс роутера, введите в браузере адрес http://IP_адрес_роутера и поищите эту опцию в настройках (в состоянии Off Телнет точно не будет подключаться).
3. Логин и пароль для Телнета должны быть такие же, как для web-интерфейса управления, и если они «admin/admin» или «admin/1234», то обязательно установите нормальный длинный пароль со спецсимволами и цифрами через web-интерфейс!
Повторяем, вы действуете на свой страх и риск, автор не может гарантировать, что его личный опыт можно успешно повторить на всех возможных роутерах!
5. Давайте попробуем заблокировать какой-нибудь сайт, который вам никогда не понадобится, в целях тестирования работы netfilter и для проверки успешной работы сброса параметров при выключении роутера.
К примеру, пусть этим сайтом будет ’Action For Singapore Dogs’ (asdsingapore.com, IP: 192.185.46.70). Откройте в интернет-браузере адрес asdsingapore.com. Открылся? Теперь введите в терминале команду:
Iptables -I FORWARD -s 192.185.46.70 -j DROP
6. Если роутер не ругается на эту команду, а воспринял её вполне спокойно, то откройте интернет-браузер и попробуйте зайти на сайт asdsingapore.com. Если раньше он ГРУЗИЛСЯ, а теперь - НЕТ, значит вы можете закрывать порты на своём wifi-роутере Asus (или на любом другом, который вы тестируете).
У вас работает netfilter и есть права использовать iptables!
7.САМАЯ ВАЖНАЯ ЧАСТЬ! Выключите WiFi-роутер из сети, а через несколько секунд включите обратно. Если прошла минута, и сайт asdsingapore.com снова ЗАГРУЖАЕТСЯ в браузере, значит, включение и выключение стёрло изменения в iptables и вы можете невозбранно вносить туда свои правки, а потом сбрасывать их (когда понадобится доступ к панели управления ) простым выключением и включением роутера.
8. А вот если asdsingapore.com после манипуляций с iptables НЕ грузится, лучше не экспериментировать дальше! Это говорит о том, что устройство запоминает своё состояние, и неверно введённые команды заставят вас, как минимум, возвращать маршрутизатор к заводским настройкам (процесс описан в инструкции по настройке роутера) или обращаться в сервисный центр.
9.Если же ’Action For Singapore Dogs’ был вами успешно заблокирован, а затем благополучно открылся, введите по телнету новые команды «в чёрном окне», строка за строкой:
Iptables -I INPUT -p udp --dport 443 -j DROP
Iptables -I INPUT -p udp --dport 80 -j DROP
Iptables -I INPUT -p udp --dport 23 -j DROP
Iptables -I INPUT -p udp --dport 22 -j DROP
Iptables -I INPUT -p udp --dport 21 -j DROP
Iptables -I INPUT -p tcp --dport 443 -j DROP
Iptables -I INPUT -p tcp --dport 80 -j DROP
Iptables -I INPUT -p tcp --dport 22 -j DROP
Iptables -I INPUT -p tcp --dport 21 -j DROP
Iptables -I INPUT -p tcp --dport 23 -j DROP ; exit
Подсказка: это не так сложно, ведь «стрелка вверх» позволяет снова открывать предыдущие строки и редактировать их, а затем нужно нажать «Enter». Кроме того, строки можно просто скопировать и выполнить, одну за другой, из текста TechnoDrive в окне терминала.
10. Если вы заходите с 23-го порта Телнетом (это настройка по умолчанию), то после самой последней строчки у вас пропадёт доступ к роутеру и он выйдет из Telnet. Так и должно быть!
Теперь данными портами (21, 22, 23, 80 и 443), по протоколам TCP и UDP не смогут воспользоваться хакеры (даже если взломают пользовательские устройства вашей сети, к примеру, «IP-видеоняню» или «умную лампочку»).
11. А когда вам понадобится войти в админку (панель управления) через браузер, достаточно будет выключить и включить роутер.
Затем внести, при необходимости, через веб-интерфейс, а потом повторить всё то, что было сказано выше про telnet и iptables (за исключением тестирования сайта из Сингапура).
Кстати, если в уязвимостях вашего роутера в Интернете указаны и другие уязвимые порты, к примеру, 9999, нужно внести их в начало списка команд! Рабочий пример:
Iptables -I INPUT -p udp --dport 9999 -j DROP
Iptables -I INPUT -p tcp --dport 9999 -j DROP
Иначе настройка роутера будет неполной, есть шанс взлома маршрутизатора именно через этот порт! Иными словами, ваш производитель мог задействовать для управления устройством и нестандартные порты, тогда правила для iptables надо корректировать. В общем, постарайтесь узнать про недостатки вашего маршрутизатора в Интернете как можно больше!
Что делать, если настроить роутер «до конца» не получается?
Конечно, желательно закрыть все подозрительные порты в WiFi-роутере, поскольку через них обычно подменяют DNS и даже перепрошивают маршрутизаторы.
Оставить открытым, к примеру, стоит UDP-порт для службы DHCP/67 (хотя без DHCP можно обойтись, если сетевые установки на всех устройствах задать вручную). Их текущее состояние, в режиме автоматической настройки (на каждом клиенте), можно выписать - и затем внести IP-адреса в поля для статичной настройки.
Вопрос про UPD для DNS-порта 53 более спорный, тут нужно экспериментировать в зависимости от того, какие DNS-серверы и сетевые настройки вы используете. К примеру, при статических IP (без DHCP) и гугловских DNS-серверах, заданных нами на каждом «клиенте», закрытый по протоколам TCP/UDP порт 53 на роутере Asus на работу сети плохо не влиял.
А если совсем «забить» на настройку роутера?
Если же совсем не настраивать роутер против взлома, как было сказано выше, после вторжения хакеров, к примеру, вы наберёте в браузере на любом устройстве домашней сети online.svoi-bank-doverie.ru, и попадёте на сайт-«обманку», где у вас пытаются вытащить логин и пароль от банковского счёта. Останется надежда только на SMS-верификацию!
WiFi-роутер можно защитить от атак клиентских устройств, защитив сами эти устройства
Что же касается планшетов, то в качестве мер защиты браузеров от атак, затрагивающих роутеры (и не только!) порекомендуем Kaspersky Safe Browser для iOS и AdBlock Plus для Chrome/Chromium.
Также продвинутые технологии защиты обещает обновлённый Яндекс.Браузер .
Для , холодильников Family Hub и прочего придётся подождать антивирус как можно чаще менять прошивки.
Но эти решения, конечно, тоже не идеальны! Ведь защищённые браузеры и антискриптовые плагины не успевают обновлять мгновенно списки заражённых сайтов, а хакеры постоянно придумывают «нестандартные применения» «облегчающему жизнь функционалу» вроде WebRTC.
Так что роутер надо защищать в любом случае!
Для Интернета вещей антивирус пока не придумали
Что же касается защиты от хакеров, которые будут ломать IP-видеокамеры, продвинутую бытовую технику, управляемые через Интернет «умные» дома, телевизоры и лампочки, часы, датчики, медиасерверы и всё остальное... «Тут всё плохо», и можно дать только общий совет!
Не сильно доверяйте грядущему Интернету вещей, защищайте (которое можно обезопасить через тщательные настройки, новые прошивки или отключение от Интернета, если Сеть не очень требуется) - ну а роутеры нужно защищать в первую очередь!..
Резюме
В публикации TechnoDrive приведён пример защиты WiFi-роутера Asus от взлома изнутри и снаружи локальной сети при помощи блокировки всех входящих TCP/UDP пакетов на популярных портах 21 (FTP), 22 (SSH), 23 (Telnet), 80 (HTTP) и 443 (HTTPS) с использованием iptables (netfilter). Очень вероятно, что для вашего роутера потребуется закрыть дополнительные порты (к примеру, 9999)!
Но требуется ли предварительная тонкая настройка веб-интерфейса? Конечно, но затем (сохранив конфигурацию) лучше задействовать iptables, чтобы хакеры не добрались до панели управления!
Как получить доступ обратно, если нужно что-то переконфигурировать? Выключите и включите роутер, и все ваши дополнительные настройки iptables, закрывающие вышеуказанные порты, должны исчезнуть.
После внесения изменений в конфигурацию через веб-интерфейс снова заблокируйте порты через Telnet. Если ваш роутер подключён в электросеть через «бесперебойник», это придётся делать достаточно редко. В противном случае дополнительная защита будет «обнуляться» каждый раз после отключения питания (UPD: и после потери связи с провайдером*).
Как проверить, что порты закрыты? Вы не сможете зайти в админку роутера ни через браузер, ни через Telnet, и «Сезам откроется» лишь только после выключения и включения маршрутизатора. При этом трафик через роутер должен свободно проходить, ведь мы не меняли в iptables правила FORWARD.
* - В процессе эксплуатации выяснилось, что подопытный WiFi-роутер сбрасывает iptables к исходному состоянию после автоматического восстановления связи с провайдером. Как часто? Разрыв при ADSL-соединении происходит каждые несколько суток. Как следить за тем, закрыты ли порты? К примеру, внести IP-адрес веб-интерфейса роутера в качестве начальной страницы в браузер. Если панель управления роутером загружается , значит порты раскрылись, и их снова нужно закрывать через Telnet указанными выше командами. Можно ли полностью автоматизировать этот процесс? Конечно, но для этого потребуются навыки программиста.
Чуть не забыли: у TechnoDrive есть группа - и на . Подключайтесь!
|
Загрузка...
