Безопасность интернет-центра Keenetic
В интернет-центрах Keenetic по умолчанию работают встроенный межсетевой экран (Firewall) с контролем соединений и защитой от атак и механизм трансляции сетевых адресов (NAT). Они запрещают входящие подключения из Интернета или со стороны WAN-интерфейса к устройствам домашней сети. Это позволяет скрыть и защитить устройства вашей сети от пользователей Интернета и угроз извне. Помимо этого по умолчанию доступ из Интернета к управлению интернет-центром (к его веб-конфигуратору) заблокирован. Это реализовано с целью безопасности интернет-центра, локальной сети и защиты от несанкционированного доступа.
Что касается безопасности информации в сети Wi-Fi, то по умолчанию беспроводная сеть интернет-центра защищена по стандарту безопасности IEEE 802.11i (WPA2 AES). К такой сети невозможно подключиться и понять передаваемую в ней информацию, не зная её пароль (ключ безопасности).
С версии операционной системы KeeneticOS 3.1
в интернет-центрах была добавлена поддержка новых современных алгоритмов безопасности WPA3-PSK, OWE, WPA/WPA2/WPA3-Enterprise и WPA3-192 Enterprise для обеспечения усиленной защиты беспроводной сети Wi-Fi. Подробности в статье "Новые механизмы защиты беспроводной сети WPA3 и OWE".
Также интернет-центры Keenetic поддерживают стандарт IEEE 802.11w из семейства стандартов IEEE 802.11 для защиты кадров управления (Protected Management Frames). Эта функциональность повышает безопасность путем обеспечения конфиденциальности данных в кадрах управления.
Важно
С заводскими установками интернет-центр полностью защищен от атак и угроз извне, и не требует дополнительных настроек, кроме создания сложного*
пароля администратора интернет-центра. Работа служб интернет-центра архитектурно не подразумевает каких-либо постоянно открытых портов и бэкдоров, которыми могут воспользоваться злоумышленники.
Для обеспечения безопасности интернет-центра Keenetic рекомендуем регулярно проверять обновления и своевременно их устанавливать. Используйте функцию автоматического обновления операционной системы (включена по умолчанию). В этом случае на вашем устройстве будет установлена актуальная версия KeeneticOS и вам не придется тратить время на обновление.
Сохраняйте информационную безопасность — не сообщайте пароль администратора интернет-центра незнакомым людям.
*
— Сложным (сильным) является пароль, который состоит из случайных чисел и букв, его трудно запомнить, угадать и долго подбирать методом полного перебора.
При использовании нашего сервиса доменных имен KeenDNS цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер, по протоколу HTTPS, защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых данных через Интернет. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транспортном уровне. При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также гарантирует безопасность и защиту данных от перехвата.
Будьте внимательны при использовании доменных имен KeenDNS 4-го уровня для удаленного доступа к сетевым устройствам. Некоторые устройства имеют открытый веб-интерфейс, доступ к которым возможен без авторизации (без пароля). Открыть с помощью KeenDNS удаленный доступ на такое устройство небезопасно. В операционной системе KeeneticOS имеется возможность включения принудительной авторизации при удаленном доступе на такие устройства средствами Keenetic.
Однако пользователь, выполняя дополнительные настройки интернет-центра, может самостоятельно создать уязвимость (дыру) в системе безопасности. Особенно это касается настройки правил межсетевого экрана, переадресации (проброса) портов, удаленного подключения к интернет-центру, доступа к ресурсам домашней сети и настройки беспроводной / гостевой сети Wi-Fi.
Теоретически, потенциальный злоумышленник может получить доступ к интернет-центру удаленно (со стороны внешнего WAN-интерфейса, например из Интернета, или из сети провайдера) или локально (например, со стороны сети Wi-Fi интернет-центра). О недоступности устройства для посторонних лиц должен позаботиться сам пользователь.
Важно
Без необходимости не используйте открытую сеть Wi-Fi (без защиты), это небезопасно, т.к. к вашей сети смогут свободно подключиться посторонние клиенты, а также в открытых сетях не предусмотрено шифрования передаваемых данных.
Если у вас используется частный "серый" IP-адрес для доступа в Интернет, то можно не беспокоиться о дополнительной защите роутера от атак из Интернета. С "серым" IP-адресом роутер недоступен из Интернета для прямых обращений к нему, и к тому же по умолчанию доступ извне запрещён межсетевым экраном и механизмом трансляции сетевых адресов (NAT). Достаточно установить сложный пароль учетной записи администратора (admin
) интернет-центра.
При использовании публичного "белого" IP-адреса следует использовать дополнительные правила безопасности, т.к. в этом случае роутер становится виден в Интернете и соответственно возможны различные угрозы и атаки на него.
Важно
Начиная с релиза KeeneticOS 3.4.6
периодически обновляется цифровой сертификат подписи микропрограммного обеспечения на облачной инфраструктуре и устройствах Keenetic. Прежние сертификаты цифровой подписи в этом случае отзываются. Сделано это для повышения безопасности обновлений KeeneticOS и услуг Keenetic.
Инструменты дополнительной защиты:
Установите сложный пароль учетной записи администратора (admin) интернет-центра, длиной не менее
8 символов
; Генерируйте случайные пароли; Включайте в пароль цифры и иные символы; Избегайте использования одного пароля для различных сайтов или целей; Проверить сложность пароля можно здесь; Для создания сложного пароля вы можете использовать менеджер паролей;Используйте сложный пароль для подключения к вашей сети Wi-Fi. В интернет-центре по умолчанию предустановлен сильный пароль, который трудно угадать и долго подбирать методом полного перебора;
Зарегистрируйте в интернет-центре все ваши устройства, а для незарегистрированных устройств установите профиль доступа "Без доступа в Интернет" (для запрета доступа всем незарегистрированным устройствам) или ограничение скорости;
Используйте один из предустановленных интернет-фильтров (Яндекс.DNS, SkyDNS, AdGuard DNS, Cloudflare DNS, NextDNS) для безопасного доступа в Интернет, для защиты всех домашних устройств от опасных сайтов, онлайн-сервисов и других угроз;
Для защиты DNS-трафика можно использовать протоколы DNS over TLS и DNS over HTTPS, которые позволяют зашифровать DNS-запросы. Поддержка указанных протоколов появилась с версии KeeneticOS
3.0
. Их основная задача — зашифровать DNS-трафик для предотвращения перехвата и обеспечения дополнительной конфиденциальности и безопасности. Подробную информацию вы найдете в инструкции "Протоколы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов";Можно использовать функцию Контроль доступа Wi-Fi, создав "Белый список". В этом случае интернет-центр будет блокировать подключение для всех клиентов, не входящих в этот список;
Если нужно предоставить временно доступ в Интернет сторонним пользователям, используйте для этой цели Гостевую сеть Wi-Fi. Это отдельная сеть с выходом только в Интернет. При этом устройства, подключенные к гостевой сети, будут изолированы от ресурсов (приложений) домашней сети, что позволит защитить и обезопасить её, например от вирусов и вредоносного ПО, содержащихся на устройствах ваших знакомых. Также в гостевом сегменте по умолчанию запрещен беспроводным клиентам обмен информацией между собой и проводным сегментом;
Если вы не пользуетесь функцией быстрой настройки WPS при подключении новых устройств к роутеру, отключите её для повышения уровня безопасности;
Чтобы повысить безопасность локальной сети, можно с помощью нашего мобильного приложения Keenetic включить отправку уведомлений о подключении к сети нового незарегистрированного устройства на адрес электронной почты (e-mail), через push-уведомления (оповещения от приложения Keenetic на мобильном устройстве) или в виде оповещения в мессенджере Telegram. Дополнительную информацию вы найдете в инструкции "Настройка оповещений о включении / отключении определенного устройства домашней сети";
Для подключения к роутеру через сторонние приложения, мы рекомендуем создать отдельную пользовательскую учетную запись, только с разрешением доступа к нужному серверу (например только к USB-накопителям по протоколу SMB, к Серверу WebDAV или к VPN-серверу). В целях безопасности, не используйте учетную запись администратора роутера, указывайте пользовательскую учетную запись с ограниченными правами;
Функция Скрывать SSID (Hide SSID) включает режим скрытого идентификатора беспроводной сети (SSID). При её использовании имя вашей сети Wi-Fi не будет отображаться в списке доступных беспроводных сетей на устройствах пользователей (не будет виден ее идентификатор SSID), но при этом пользователи, осведомленные о существовании этой сети и знающие её имя, смогут подключиться к ней.
Дополнительно для устройств с публичным IP-адресом для доступа в Интернет:
Без необходимости не разрешайте удаленный доступ из Интернета к веб-конфигуратору Keenetic по протоколу HTTP и тем более по TELNET;
Рекомендуем сменить стандартные порты управления интернет-центром. Например, порт управления по HTTP с
80
на8080
, а порт управления по TELNET с23
на2023
; Выключите использование протокола HTTP и включите использование удаленного подключения к веб-конфигуратору интернет-центра только по протоколу HTTPS (данная возможность появилась с версии KeeneticOS3.1
);С версии KeeneticOS
2.12
был добавлен сервер SSH (Secure Shell — безопасная оболочка), с помощью которого можно безопасно подключаться к командной строке интернет-центра. Рекомендуем при подключении к устройству из Интернета использовать SSH-подключение вместо TELNET. Смените стандартный порт управления по SSH c22
на другой, например на2022
;Для удалённого доступа в локальную сеть, в том числе и к устройствам сети (например, к IP-камере, сетевому медиаплееру, принтеру или USB-накопителю), рекомендуем использовать VPN-сервер на Keenetic (например L2TP/IPsec, WireGuard, SSTP или PPTP), а не открывать доступ с помощью правил переадресации портов. При этом создайте отдельную учетную запись пользователя для подключения к VPN и используйте сложный пароль пользователя. В инструкции "Типы VPN-соединений в Keenetic" вы найдете краткое описание всех видов VPN, которые реализованы в наших интернет-центрах;
Если вы не используете службу UPnP, отключите её. В этом случае вы будете уверены, что не будут автоматически создаваться правила NAT и межсетевого экрана. Например, службу UPnP может использовать вредоносное ПО с локального хоста;
В некоторых случаях может потребоваться открыть определенные порты вручную (настроить переадресацию портов). Рекомендуем в переадресации портов открывать только определенные порты и протоколы, которые необходимы для работы сервера или сетевого устройства, а не пробрасывать все порты и протоколы на хост локальной сети;
При использовании правил переадресации и межсетевого экрана имеется возможность ограничить доступ, например, разрешив его только с одного IP-адреса или определенной подсети, а для всех остальных запретить;
При необходимости с помощью правил межсетевого экрана можно заблокировать доступ к веб-интерфейсу роутера определенным хостам локальной сети, заблокировать подключения по протоколу Telnet, разрешить доступ в Интернет только определенным компьютерам локальной сети, а для всех остальных заблокировать доступ и др. Дополнительную информацию вы найдете в инструкции "Примеры использования правил межсетевого экрана";
Не разрешайте в межсетевом экране выполнение пинг-запросов для всех пользователей со стороны внешней сети (из Интернета).
Подсказка
Интернет-центры серии Keenetic имеют поддержку различных типов VPN-подключений на все случаи жизни и для любого типа подключения: Wireguard, IPsec, SSTP, PPTP, OpenVPN, L2TP/IPsec, IKEv2 и так называемый виртуальный сервер IPSec (Xauth PSK). Подробности вы найдете в статье "Типы VPN-соединений в Keenetic".
С версии KeeneticOS
2.08
была улучшена защита интернет-центра от роботов, перебирающих пароли (защита от брутфорса, англ. brute force). Защита работает для внешних интерфейсов устройства по протоколам HTTP (TCP/80
) и Telnet (TCP/23
). По умолчанию данная защита включена в интернет-центре. В случае, если кто-то в течение 3-х минут5 раз
неверно введет учетные данные для входа в интернет-центр, его IP-адрес будет заблокирован на15 минут
.С версии KeeneticOS
2.12
появилась возможность задать параметры отслеживания попыток вторжения путем перебора паролей SSH и FTP-сервера для публичных интерфейсов (по умолчанию функция включена).Постоянно обновляется библиотека OpenSSL.
С версии KeeneticOS
3.1
добавлена возможность задать параметры отслеживания попыток вторжения путем перебора паролей VPN-сервера PPTP (по умолчанию функция включена).В Keenetic все потенциально уязвимые опции WPS отключены (по умолчанию выключена функция использования пин-кода, а сам алгоритм ввода пин-кода специально доработан против взлома). Используется поддержка механизма WPSv2 и защита от всех известных на текущий момент уязвимостей, связанных с протоколом WPS (в том числе от атак Pixie Dust).
В KeeneticOS была улучшена защита от уязвимости WPA2 KRACK (уязвимость протокола WPA2, известная как атака реинсталяции ключей KRACK).
Что касается атак типа 802.11r Fast-BSS Transition (FT) CVE-2017-13082, то они не затрагивают интернет-центры Keenetic, поддерживающие стандарт IEEE 802.11r.
Интернет-центры Keenetic не подвержены уязвимости CVE-2017-7494 (WannaCry, SambaCry).
Защита от DoS-атак и SYN-flood присутствует в ядре Linux, используемом в операционной системе интернет-центра.
Атаки типа Denial of Service (DoS) и Distributed Denial of Service (DDoS) строятся на использовании открытия большого количества подключений к устройству. DDoS-атаки с точки зрения объекта, на который они направлены, неотличимы от работы в пиринговой сети. В силу своих особенностей, DDoS-атаки, и соответственно защита от них, малоактуальны как для домашних устройств доступа, так и для SOHO-сегмента. DDoS-атаки как правило направлены на корпоративные структуры, публичные сайты, датацентры и т.п. Распределенные атаки на отказ в обслуживании обычно эффективно устраняются на стороне провайдера.
С версии KeeneticOS
3.1
реализован режим "Доступ по HTTPS" — запрет прямого доступа по IP-адресам и именам роутера без сертификата.С версии KeeneticOS
3.4.1
в интернет-центрах реализована блокировка атак типа DNS Rebinding и она включена по умолчанию.В версии KeeneticOS
3.6.6
добавлено исправление уязвимостей безопасности для сети Wi‑Fi, известные под названием FragAttacks (Fragmentation and Aggregation Attacks): CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147. Обновление касается всех моделей с индексом KN, выпущенных с 2017 года, и моделей Zyxel Keenetic Ultra II, Giga III, Extra II, Air (в релизе 3.5.10).С версии Keenetic
3.7.1
для повышения безопасности после изменения учетных данных пользователя, KeeneticOS очищает активные сеансы управления через веб-интерфейс и мобильное приложение Keenetic.С версии KeeneticOS
3.7.1
реализована защита от перебора паролей для удаленного доступа к устройству через доменное имя KeenDNS в режиме Через облако.