Настройка безопасности беспроводной сети на примере роутера tp-Link
Рассмотрим основные настройки безопасности WiFi-сети на примере роутера TP-Link.
Включаем шифрование сети. По возможности используем тип шифрования WPA2-PSK
Рисунок 1. Включение шифрование сети
Если роутер настроен на использование шифрования WEP, его нужно изменить на WPA2, потому как WEP (Wired Equivalent Privacy) устарел и имеет серьезные уязвимости. А WPA2 является наиболее сильным в использовании на данный момент. WPA стоит использовать только в том случае, если у Вас есть устройства не поддерживающие с WPA2.
Отключаем WPS.
Рисунок 2. Отключение WPS
Если пользователь не использует функциею WPS — необходимо её отключить. В некоторых моделях роутеров она является серьёзной уязвимостью из-за стандартной конфигурации.
Изменяем имя сети SSID, используемое по умолчанию.
Рисунок 3. Изменение имени сети SSID
Во многих случаях в качестве SSID (Service Set Identifier) используется модель беспроводного маршрутизатора, что облегчает злоумышленнику взлом беспроводной сети. Поэтому обязательно надо его изменить на любой другой. В качестве имени может быть любое слово на латинице и цифры.
Изменяем пароль маршрутизатора по умолчанию.
Рисунок 4. Изменение пароля маршрутизатора по умолчанию
В качестве примера можно привести GPON ONT терминалы ZTE. Из-за того, что у них у всех по умолчанию использовался один и тот же пароль, который при настройке устройства никто не менял. Из-за этого много домашних сетей в крупных городах были взломаны. Соответственно злоумышленник мог получить доступ к настройке маршрутизатора, Интернет-каналу и домашней сети.
Включаем брандмауэр маршрутизатора.
Рисунок 5. Включение брандмауэра маршрутизатора
Практически все маршрутизаторы оснащены встроенным брандмауэром (он же файервол), который по умолчанию может быть отключен. Необходимо убедиться, что он включен. Для еще большей безопасности надо убедиться, что каждый компьютер в вашей сети также использует брандмауэр и антивирусное программное обеспечение.
Включаем фильтрацию МАС-адресов клиентов беспроводной сети.
Рисунок 6(а). Включение фильтрации МАС-адресов
Каждый компьютер, ноутбук или мобильное устройство имеет уникальный идентификатор в сети, называемый MAC-адрес. Это позволяет WiFi роутеру отслеживать все устройства, подключенных к нему. Многие WiFi маршрутизаторы позволяют администраторам физически ввести MAC-адреса устройств, которым можно подключиться к сети.
Рисунок 6(б). Включение фильтрации МАС-адресов
Таким образом к Вашей домашней сети смогут подключиться только те устройства, которые есть в таблице. Другие вообще не смогут, даже если подберут пароль.
Отключаем удаленное администрирование.
Большинство маршрутизаторов позволяют администраторам удаленно подключаться из сети Интернет к веб-интерфейсу или командной строке устройства. Если вам не нужно это, отключить эту функцию. Из локальной сети настройки устройства всё равно будут доступны.
Рисунок 7. Отключение удаленного администрирования