Skip to main content

Руководство пользователя

Безопасность интернет-центра Keenetic

В интернет-центрах Keenetic по умолчанию работают встроенный межсетевой экран (Firewall) с контролем соединений и защитой от атак и механизм трансляции сетевых адресов (NAT). Они запрещают входящие подключения из Интернета или со стороны WAN-интерфейса к устройствам домашней сети. Это позволяет скрыть и защитить устройства вашей сети от пользователей Интернета и угроз извне. Помимо этого по умолчанию доступ из Интернета к управлению интернет-центром (к его веб-конфигуратору) заблокирован. Это реализовано с целью безопасности интернет-центра, локальной сети и защиты от несанкционированного доступа.

Что касается безопасности информации в сети Wi-Fi, то по умолчанию беспроводная сеть интернет-центра защищена по стандарту безопасности IEEE 802.11i (WPA2 AES). К такой сети невозможно подключиться и понять передаваемую в ней информацию, не зная её пароль (ключ безопасности).

С версии операционной системы KeeneticOS 3.1 в интернет-центрах была добавлена поддержка новых современных алгоритмов безопасности WPA3-PSKOWEWPA/WPA2/WPA3-Enterprise и WPA3-192 Enterprise для обеспечения усиленной защиты беспроводной сети Wi-Fi. Подробности в статье "Новые механизмы защиты беспроводной сети WPA3 и OWE".

Также интернет-центры Keenetic поддерживают стандарт IEEE 802.11w из семейства стандартов IEEE 802.11 для защиты кадров управления (Protected Management Frames). Эта функциональность повышает безопасность путем обеспечения конфиденциальности данных в кадрах управления.

Важно

С заводскими установками интернет-центр полностью защищен от атак и угроз извне, и не требует дополнительных настроек, кроме создания сложного* пароля администратора интернет-центра. Работа служб интернет-центра архитектурно не подразумевает каких-либо постоянно открытых портов и бэкдоров, которыми могут воспользоваться злоумышленники.

Для обеспечения безопасности интернет-центра Keenetic рекомендуем регулярно проверять обновления и своевременно их устанавливать. Используйте функцию автоматического обновления операционной системы (включена по умолчанию). В этом случае на вашем устройстве будет установлена актуальная версия KeeneticOS и вам не придется тратить время на обновление.

Сохраняйте информационную безопасность — не сообщайте пароль администратора интернет-центра незнакомым людям.

* — Сложным (сильным) является пароль, который состоит из случайных чисел и букв, его трудно запомнить, угадать и долго подбирать методом полного перебора.

При использовании нашего сервиса доменных имен KeenDNS цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер, по протоколу HTTPS, защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых данных через Интернет. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транспортном уровне. При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также гарантирует безопасность и защиту данных от перехвата.

Будьте внимательны при использовании доменных имен KeenDNS 4-го уровня для удаленного доступа к сетевым устройствам. Некоторые устройства имеют открытый веб-интерфейс, доступ к которым возможен без авторизации (без пароля). Открыть с помощью KeenDNS удаленный доступ на такое устройство небезопасно. В операционной системе KeeneticOS имеется возможность включения принудительной авторизации при удаленном доступе на такие устройства средствами Keenetic.

Однако пользователь, выполняя дополнительные настройки интернет-центра, может самостоятельно создать уязвимость (дыру) в системе безопасности. Особенно это касается настройки правил межсетевого экрана, переадресации (проброса) портов, удаленного подключения к интернет-центру, доступа к ресурсам домашней сети и настройки беспроводной / гостевой сети Wi-Fi.

Теоретически, потенциальный злоумышленник может получить доступ к интернет-центру удаленно (со стороны внешнего WAN-интерфейса, например из Интернета, или из сети провайдера) или локально (например, со стороны сети Wi-Fi интернет-центра). О недоступности устройства для посторонних лиц должен позаботиться сам пользователь.

Важно

Без необходимости не используйте открытую сеть Wi-Fi (без защиты), это небезопасно, т.к. к вашей сети смогут свободно подключиться посторонние клиенты, а также в открытых сетях не предусмотрено шифрования передаваемых данных.

Если у вас используется частный "серый" IP-адрес для доступа в Интернет, то можно не беспокоиться о дополнительной защите роутера от атак из Интернета. С "серым" IP-адресом роутер недоступен из Интернета для прямых обращений к нему, и к тому же по умолчанию доступ извне запрещён межсетевым экраном и механизмом трансляции сетевых адресов (NAT). Достаточно установить сложный пароль учетной записи администратора (admin) интернет-центра.

При использовании публичного "белого" IP-адреса следует использовать дополнительные правила безопасности, т.к. в этом случае роутер становится виден в Интернете и соответственно возможны различные угрозы и атаки на него.

Важно

Начиная с релиза KeeneticOS 3.4.6 периодически обновляется цифровой сертификат подписи микропрограммного обеспечения на облачной инфраструктуре и устройствах Keenetic. Прежние сертификаты цифровой подписи в этом случае отзываются. Сделано это для повышения безопасности обновлений KeeneticOS и услуг Keenetic.

Инструменты дополнительной защиты:

  • Установите сложный пароль учетной записи администратора (admin) интернет-центра, длиной не менее 88 символов; Генерируйте случайные пароли; Включайте в пароль цифры и иные символы; Избегайте использования одного пароля для различных сайтов или целей; Проверить сложность пароля можно здесь; Для создания сложного пароля вы можете использовать менеджер паролей;

  • Используйте сложный пароль для подключения к вашей сети Wi-Fi. В интернет-центре по умолчанию предустановлен сильный пароль, который трудно угадать и долго подбирать методом полного перебора;

  • Зарегистрируйте в интернет-центре все ваши устройства, а для незарегистрированных устройств установите профиль доступа "Без доступа в Интернет" (для запрета доступа всем незарегистрированным устройствам) или ограничение скорости;

  • Используйте один из предустановленных интернет-фильтров (Яндекс.DNS, SkyDNS, AdGuard DNSCloudflare DNS, NextDNS) для безопасного доступа в Интернет, для защиты всех домашних устройств от опасных сайтов, онлайн-сервисов и других угроз;

  • Для защиты DNS-трафика можно использовать протоколы DNS over TLS и DNS over HTTPS, которые позволяют зашифровать DNS-запросы. Поддержка указанных протоколов появилась с версии KeeneticOS 3.0. Их основная задача — зашифровать DNS-трафик для предотвращения перехвата и обеспечения дополнительной конфиденциальности и безопасности. Подробную информацию вы найдете в инструкции "Протоколы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов";

  • Можно использовать функцию Контроль доступа Wi-Fi, создав "Белый список". В этом случае интернет-центр будет блокировать подключение для всех клиентов, не входящих в этот список;

  • Если нужно предоставить временно доступ в Интернет сторонним пользователям, используйте для этой цели Гостевую сеть Wi-Fi. Это отдельная сеть с выходом только в Интернет. При этом устройства, подключенные к гостевой сети, будут изолированы от ресурсов (приложений) домашней сети, что позволит защитить и обезопасить её, например от вирусов и вредоносного ПО, содержащихся на устройствах ваших знакомых. Также в гостевом сегменте по умолчанию запрещен беспроводным клиентам обмен информацией между собой и проводным сегментом;

  • Если вы не пользуетесь функцией быстрой настройки WPS при подключении новых устройств к роутеру, отключите её для повышения уровня безопасности;

  • Чтобы повысить безопасность локальной сети, можно с помощью нашего мобильного приложения Keenetic включить отправку уведомлений о подключении к сети нового незарегистрированного устройства на адрес электронной почты (e-mail), через push-уведомления (оповещения от приложения Keenetic на мобильном устройстве) или в виде оповещения в мессенджере Telegram. Дополнительную информацию вы найдете в инструкции "Настройка оповещений о включении / отключении определенного устройства домашней сети";

  • Для подключения к роутеру через сторонние приложения, мы рекомендуем создать отдельную пользовательскую учетную запись, только с разрешением доступа к нужному серверу (например только к USB-накопителям по протоколу SMB, к Серверу WebDAV или к VPN-серверу). В целях безопасности, не используйте учетную запись администратора роутера, указывайте пользовательскую учетную запись с ограниченными правами;

  • Функция Скрывать SSID (Hide SSID) включает режим скрытого идентификатора беспроводной сети (SSID). При её использовании имя вашей сети Wi-Fi не будет отображаться в списке доступных беспроводных сетей на устройствах пользователей (не будет виден ее идентификатор SSID), но при этом пользователи, осведомленные о существовании этой сети и знающие её имя, смогут подключиться к ней.

Дополнительно для устройств с публичным IP-адресом для доступа в Интернет:

  • Без необходимости не разрешайте удаленный доступ из Интернета к веб-конфигуратору Keenetic по протоколу HTTP и тем более по TELNET;

  • Рекомендуем сменить стандартные порты управления интернет-центром. Например, порт управления по HTTP с 80 на 8080, а порт управления по TELNET с 23 на 2023; Выключите использование протокола HTTP и включите использование удаленного подключения к веб-конфигуратору интернет-центра только по протоколу HTTPS (данная возможность появилась с версии KeeneticOS 3.1);

  • С версии KeeneticOS 2.12 был добавлен сервер SSH (Secure Shell — безопасная оболочка), с помощью которого можно безопасно подключаться к командной строке интернет-центра. Рекомендуем при подключении к устройству из Интернета использовать SSH-подключение вместо TELNET. Смените стандартный порт управления по SSH22 на другой, например на 2022;

  • Для удалённого доступа в локальную сеть, в том числе и к устройствам сети (например, к IP-камере, сетевому медиаплееру, принтеру или USB-накопителю), рекомендуем использовать VPN-сервер на Keenetic (например L2TP/IPsecWireGuardSSTP или PPTP), а не открывать доступ с помощью правил переадресации портов. При этом создайте отдельную учетную запись пользователя для подключения к VPN и используйте сложный пароль пользователя. В инструкции "Типы VPN-соединений в Keenetic" вы найдете краткое описание всех видов VPN, которые реализованы в наших интернет-центрах;

  • Если вы не используете службу UPnP, отключите её. В этом случае вы будете уверены, что не будут автоматически создаваться правила NAT и межсетевого экрана. Например, службу UPnP может использовать вредоносное ПО с локального хоста;

  • В некоторых случаях может потребоваться открыть определенные порты вручную (настроить переадресацию портов). Рекомендуем в переадресации портов открывать только определенные порты и протоколы, которые необходимы для работы сервера или сетевого устройства, а не пробрасывать все порты и протоколы на хост локальной сети;

  • При использовании правил переадресации и межсетевого экрана имеется возможность ограничить доступ, например, разрешив его только с одного IP-адреса или определенной подсети, а для всех остальных запретить;

  • При необходимости с помощью правил межсетевого экрана можно заблокировать доступ к веб-интерфейсу роутера определенным хостам локальной сети, заблокировать подключения по протоколу Telnet, разрешить доступ в Интернет только определенным компьютерам локальной сети, а для всех остальных заблокировать доступ и др. Дополнительную информацию вы найдете в инструкции "Примеры использования правил межсетевого экрана";

  • Не разрешайте в межсетевом экране выполнение пинг-запросов для всех пользователей со стороны внешней сети (из Интернета).

Подсказка

  1. Интернет-центры серии Keenetic имеют поддержку различных типов VPN-подключений на все случаи жизни и для любого типа подключения: WireguardIPsecSSTPPPTPOpenVPNL2TP/IPsec, IKEv2 и так называемый виртуальный сервер IPSec (Xauth PSK). Подробности вы найдете в статье "Типы VPN-соединений в Keenetic".

  2. С версии KeeneticOS 2.08 была улучшена защита интернет-центра от роботов, перебирающих пароли (защита от брутфорса, англ. brute force). Защита работает для внешних интерфейсов устройства по протоколам HTTP (TCP/80) и Telnet (TCP/23). По умолчанию данная защита включена в интернет-центре. В случае, если кто-то в течение 3-х минут 5 раз неверно введет учетные данные для входа в интернет-центр, его IP-адрес будет заблокирован на 15 минут.

  3. С версии KeeneticOS 2.12 появилась возможность задать параметры отслеживания попыток вторжения путем перебора паролей SSH и FTP-сервера для публичных интерфейсов (по умолчанию функция включена).

  4. Постоянно обновляется библиотека OpenSSL.

  5. С версии KeeneticOS 3.1 добавлена возможность задать параметры отслеживания попыток вторжения путем перебора паролей VPN-сервера PPTP (по умолчанию функция включена).

  6. В Keenetic все потенциально уязвимые опции WPS отключены (по умолчанию выключена функция использования пин-кода, а сам алгоритм ввода пин-кода специально доработан против взлома). Используется поддержка механизма WPSv2 и защита от всех известных на текущий момент уязвимостей, связанных с протоколом WPS (в том числе от атак Pixie Dust).

  7. В KeeneticOS была улучшена защита от уязвимости WPA2 KRACK (уязвимость протокола WPA2, известная как атака реинсталяции ключей KRACK).

  8. Что касается атак типа 802.11r Fast-BSS Transition (FT) CVE-2017-13082, то они не затрагивают интернет-центры Keenetic, поддерживающие стандарт IEEE 802.11r.

  9. Интернет-центры Keenetic не подвержены уязвимости CVE-2017-7494 (WannaCry, SambaCry).

  10. Защита от DoS-атак и SYN-flood присутствует в ядре Linux, используемом в операционной системе интернет-центра.

    Атаки типа Denial of Service (DoS) и Distributed Denial of Service (DDoS) строятся на использовании открытия большого количества подключений к устройству. DDoS-атаки с точки зрения объекта, на который они направлены, неотличимы от работы в пиринговой сети. В силу своих особенностей, DDoS-атаки, и соответственно защита от них, малоактуальны как для домашних устройств доступа, так и для SOHO-сегмента. DDoS-атаки как правило направлены на корпоративные структуры, публичные сайты, датацентры и т.п. Распределенные атаки на отказ в обслуживании обычно эффективно устраняются на стороне провайдера.

  11. С версии KeeneticOS 3.1 реализован режим "Доступ по HTTPS" — запрет прямого доступа по IP-адресам и именам роутера без сертификата.

  12. С версии KeeneticOS 3.4.1 в интернет-центрах реализована блокировка атак типа DNS Rebinding и она включена по умолчанию.

  13. В версии KeeneticOS 3.6.6 добавлено исправление уязвимостей безопасности для сети Wi‑Fi, известные под названием FragAttacks (Fragmentation and Aggregation Attacks): CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147. Обновление касается всех моделей с индексом KN, выпущенных с 2017 года, и моделей Zyxel Keenetic Ultra II, Giga III, Extra II, Air (в релизе 3.5.10).

  14. С версии Keenetic 3.7.1 для повышения безопасности после изменения учетных данных пользователя, KeeneticOS очищает активные сеансы управления через веб-интерфейс и мобильное приложение Keenetic.

  15. С версии KeeneticOS 3.7.1 реализована защита от перебора паролей для удаленного доступа к устройству через доменное имя KeenDNS в режиме Через облако.

В этом разделе: