Skip to main content

Інструкція користувача

Безпека маршрутизатора Keenetic

Пристрої Keenetic мають вбудований фаєрвол з контролем з'єднання та запобіганням атак та механізм network address translation (NAT), включений за замовчуванням. Вони обмежують вхідні з'єднання з Інтернету або інтерфейсу WAN до пристроїв домашньої мережі. Це дозволяє приховувати та захищати свої мережеві пристрої від інших людей і загроз з Інтернету. Доступ до маршрутизатора Keenetic (до його веб-інтерфейсу) з Інтернету за замовчуванням заблокований. Це зроблено для гарантії безпеки маршрутизатора, локальної мережі та захисту від несанкціонованого доступу.

Що стосується безпеки інформації в мережі Wi-Fi, то бездротова мережа роутера Keenetic захищена стандартом безпеки IEEE 802.11i (WPA2 AES) за замовчуванням. Неможливо підключитися до такої мережі і прочитати передану інформацію без пароля (ключа безпеки) цієї мережі.

Починаючи з KeeneticOS версії 3.1, були реалізовані сучасні алгоритми безпеки (WPA3-PSK, OWE, WPA/WPA2/WPA3-Enterprise, і WPA3-192 Enterprise) для забезпечення покращеного захисту бездротової мережі Wi-Fi. Дивіться статтю 'Остання безпека Wi-Fi: налаштування WPA3 та OWE' для подробиць.

Пристрої Keenetic також підтримують стандарт IEEE 802.11w з серії стандартів IEEE 802.11 для Protected Management Frames. Ця функція підвищує безпеку, забезпечуючи конфіденційність даних у кадрах керування.

Важливо

При заводських налаштуваннях маршрутизатор повністю захищений від атак і загроз ззовні і не вимагає ніякої додаткової конфігурації, окрім створення складного * паролю адміністратора для роутера. Архітектурно сервіси маршрутизатора не використовують постійно відкритих портів або бекдорів, якими можуть користуватися хакери.

Щоб забезпечити безпеку маршрутизатора Keenetic, ми рекомендуємо регулярно перевіряти оновлення та встановлювати їх регулярно. Використовуйте функцію автоматичне оновлення ОС (увімкнена за замовчуванням). Якщо у вас завжди встановлена актуальна версія KeeneticOS на вашому пристрої, вам не доведеться витрачати час на його оновлення.

Зберігайте свою інформацію в безпеці - не діліться паролем адміністратора маршрутизатора зі сторонніми особами.

* — Складний (безпечний) пароль - це пароль, який важко вгадати і який потребує багато часу, щоб його знайти шляхом перебору.

При використанні нашого KeenDNSсервісу, цифровий сертифікат та HTTPS private key зберігається безпосередньо на пристрої призначення (маршрутизаторі). При доступі через хмарний сервер, який використовує HTTPS протокол, будується захищений тунель до маршрутизатора; цей тунель забезпечує безпеку і конфіденційність даних, що передаються через Інтернет. Сеанс встановлюється за допомогою наскрізного шифрування. Це означає, що, яка інформація передається між маршрутизатором і браузером через HTTPS, недоступна для KeenDNS хмарних серверів, які забезпечують передачу даних на транспортному рівні. З хмарним доступом HTTPS, встановлюється захищений канал між маршрутизатором і KeenDNS сервером з використанням цифрового сертифікату KeenDNS , який також гарантує безпеку даних і захист від перехоплення.

Будьте обережні при використанні доменних імен 4-го рівня KeenDNS для віддаленого доступу до мережевих пристроїв. Деякі пристрої мають загальнодоступний вебінтерфейс, до якого доступ вільний, без автентифікації (без пароля). Небезпечно відкривати віддалений доступ до такого пристрою за допомогою KeenDNS. Ви можете увімкнути примусову автентифікацію в KeeneticOS для віддаленого доступу до таких пристроїв через роутер.

Однак користувач може створити вразливість безпеки (лазівку), налаштувавши маршрутизатор самостійно. Особливо це стосується налаштування правил брандмауера, переадресації портів, віддаленого підключення до маршрутизатора, доступу до ресурсів домашньої мережі та налаштувань бездротової/гостьової мережі Wi‑Fi.

Теоретично потенційний зловмисник може отримати доступ до маршрутизатора віддалено (з зовнішнього інтерфейсу WAN, такого як Інтернет або мережа провайдера) або локально (наприклад, з мережі маршрутизатора Wi-Fi). Користувач несе відповідальність за те, щоб пристрій не був доступний стороннім особам.

Важливо

Не використовуйте відкриту мережу Wi-Fi (без захисту), якщо це не необхідно; це небезпечно, оскільки ваша мережа буде вільна для підключення для інших клієнтів, а шифрування переданих даних у відкритих мережах немає.

Якщо ви використовуєте приватну IP адресу для доступу до Інтернету, вам не доведеться турбуватися про додатковий захист вашого маршрутизатора від Інтернет-атак. З приватною IP адресою, маршрутизатор недоступний з Інтернету для прямого доступу. Крім того, за замовчуванням зовнішній доступ заборонений фаєрволом і механізмом Network Address Translation (NAT). Достатньо встановити складний пароль для облікового запису адміністратора роутера (admin).

При використанні публічної IP адреси, слід використовувати додаткові правила безпеки. При цьому роутер видно в Інтернеті, і для нього можливі різні загрози і атаки.

Важливо

Починаючи з KeeneticOS 3.4.6, цифровий сертифікат для підпису прошивки на хмарній інфраструктурі та пристроях Keenetic періодично поновлюється. Попередні цифрові сертифікати відкликаються. Це робиться для підвищення безпеки оновлення KeeneticOS та послуг Keenetic.

Додаткові Інструменти захисту:

  • Встановіть складний пароль адміністратора для маршрутизатора, принаймні 8 символів в довжину; згенеруйте випадкові паролі; помістіть цифри та інші символи в пароль; уникайте використання одного і того ж пароля для різних сайтів або цілей; перевірте надійність пароля тут; Використовуйте менеджер паролів для створення складних паролів;

  • Використовуйте сильний пароль для підключення до вашої мережі Wi-Fi. Маршрутизатор за замовчуванням має надійний пароль, який важко вгадати або підібрати;

  • Зареєструйте всі ваші пристрої в маршрутизаторі, а для всіх незареєстрованих пристроїв та встановіть політику доступу 'Без доступу до Інтернету' (щоб заборонити доступ для всіх незареєстрованих пристроїв) або обмеження швидкості для всіх незареєстрованих пристроїв;

  • Використовуйте один з попередньо встановлених Інтернет-фільтрів (, AdGuard DNS, CloudflareDNS, NextDNS) для безпечного доступу до Інтернету, для захисту всіх домашніх пристроїв від небезпечних сайтів, онлайн-сервісів та інших загроз;

  • Для захисту DNS-трафіку можна використовувати протоколи DNS через TLS і DNS через HTTPS, які дозволяють шифрувати DNS-запити. Підтримка цих протоколів доступна з KeeneticOS версії 3.0. Їх основне призначення - шифрування DNS-трафіку для запобігання перехоплення та забезпечення додаткової конфіденційності та безпеки. Ви можете знайти більше інформації в розділі 'Протоколи DNS через TLS та DNS через HTTPS для шифрування DNS-запитів';

  • Ви можете використовувати функцію Контроль доступу Wi-Fi шляхом створення 'Білого списку'. В цьому випадку роутер заблокує з'єднання для всіх клієнтів, яких немає в цьому списку;

  • Якщо потрібно надати тимчасовий доступ в Інтернет третім особам, скористайтеся Гостьовою мережею Wi-Fi для цієї мети. Це окрема мережа тільки з доступом в Інтернет. При цьому пристрої, підключені до Гостьової мережі будуть ізольовані від ресурсів вашої домашньої мережі, щоб захистити і убезпечити її від вірусів і шкідливих програм, наприклад тих, що містяться на пристроях ваших друзів;

  • Ви можете відключити функцію WPS Швидке налаштування для підвищення рівня безпеки вашої Wi-Fi мережі;

  • Щоб підвищити безпеку локальної мережі, ви можете використовувати Мобільний додаток Keenetic, щоб надсилати повідомлення про новий незареєстрований пристрій, що підключається до мережі, на вашу електронну адресу, через push сповіщення (сповіщення з додатка Keenetic на вашому мобільному пристрої) або як сповіщення у месенджер Телеграм. Для отримання додаткової інформації зверніться до посібника «Налаштування сповіщень про увімкнення/вимкнення певного пристрою домашньої мережі»;

  • Для підключення до роутера через сторонній додаток рекомендуємо створити окремий обліковий запис користувача, дозволяючи лише доступ до потрібного сервісу (напр. тільки до USB-накопичувача SMB, тільки до Серверу WebDAV або VPN-серверу). З міркувань безпеки не використовуйте обліковий запис адміністратора маршрутизатора, застосовуйте обліковий запис користувача з обмеженими правами.

  • Функція Приховати SSID дозволяє бездротовій мережі працювати у режимі прихованого SSID. Якщо ви використовуєте його, ім'я вашої мережі Wi-Fi не відображатиметься в списку доступних бездротових мереж на пристроях користувачів (SSID не буде видно), але користувачі, які знають, що мережа існує і знають її назву, зможуть підключитися до мережі

Також для пристроїв з публічною IP-адресою для доступу в Інтернет:

  • Не дозволяйте віддалений доступ з інтернету до вебінтерфейсу Keenetic через HTTP і, тим паче, через TELNET якщо це не є конче необхідним;

  • Рекомендуємо змінити стандартні порти управління маршрутизатором. Наприклад, змінити порт управління через HTTP з 80 на 8080, і порт управління через TELNET з 23 на 2023; Увімкнути використання віддаленого підключення до вебінтерфейсу маршрутизатора тільки через протокол HTTPS (ця функція реалізована з KeeneticOS версія 3.1);

  • Починаючи з KeeneticOS версії 2.12, був доданий сервер SSH (Secure Shell), що дозволяє безпечно підключатися до інтерфейсу командного рядка маршрутизатора. Ми рекомендуємо використовувати SSH з'єднання замість TELNET при підключенні до пристрою з Інтернету. Змініть стандартний порт 22 керування SSH на інший, напр. 2022;

  • Для віддаленого доступу до локальної мережі, включаючи доступ до мережевих пристроїв (наприклад, IP-камера, мережевий медіаплеєр, або USB-накопичувач), ми рекомендуємо використовувати VPN-сервер на Keenetic (наприклад,L2TP/IPsec, WireGuard, SSTP, OpenConnect або PPTP) замість відкриття доступу за допомогою правил переадресації портів. В цьому випадку створіть окремий обліковий запис користувача для підключення до VPN і використовуйте складний пароль користувача. У статті 'Типи VPN в маршрутизаторах Keenetic' ви знайдете короткий опис всіх типів VPN, які реалізовані в наших маршрутизаторах;

  • Якщо ви не використовуєте Сервіс UPnP, відключить його. В цьому випадку ви будете впевнені, що Правила NAT і фаєрвол не будуть створені автоматично. Наприклад, сервіс UPnP може використовувати зловмисне програмне забезпечення від localhost;

  • У деяких випадках може знадобитися відкрити певні порти вручну (налаштувати переадресацію портів). У переадресації портів ми рекомендуємо відкривати тільки певні порти і протоколи, необхідні для роботи сервера або мережевого пристрою, а не пересилати всі порти і протоколи на хост локальної мережі;

  • При використанні правила пересилання і фаєрвол, можна обмежити доступ, наприклад, дозволяючи доступ тільки з однієї IP-адреси або певної підмережі, забороняючи при цьому всі інші;

  • При необхідності ви можете використовувати правила фаєрвол для блокування доступу до вебінтерфейсу маршрутизатора для певних хостів локальної мережі, блокування з'єднань Telnet, дозволу доступу до Інтернету лише з певних комп'ютерів локальної мережі та блокування доступу для всіх інших тощо. Для отримання додаткової інформації див. посібник Приклади використання правил брандмауера;

  • Не дозволяйте правилами фаєрвол пінг-запити для всіх користувачів зовнішньої мережі (з Інтернету).

Підказка

  1. Роутери Keenetic підтримують різні типи VPN-з'єднань - на всі випадки життя та будь-якого з'єднання: WireGuard, IPsec, SSTP, OpenConnect, PPTP, OpenVPN, L2TP/IPsec, і так званий IPsec Virtual Server (Xauth PSK). Більш детальну інформацію можна знайти в статті 'Типи VPN в Keenetic'.

  2. Починаючи з KeeneticOS версії 2.08, було покращено захист маршрутизатора від ботів, які шукають паролі (захист від перебору паролю). Захист використовується для зовнішніх інтерфейсів пристрою через HTTP (TCP/80) і Телнет (TCP/23) протоколи. Цей захист увімкнений в маршрутизаторі за замовчуванням. Якщо хтось вводить неправильні облікові дані для входу в роутер 5 разів протягом 3 хвилин, його IP-адреса буде заблокована на 15 хвилин.

  3. Починаючи з KeeneticOS версі] 2.12, можна встановити параметри для відстеження спроб вторгнення шляхом пошуку паролів SSH і FTP-сервера для загальнодоступних інтерфейсів (за замовчуванням функція увімкнена).

  4. Бібліотека OpenSSL постійно оновлюється.

  5. Починаючи з KeeneticOS версії 3.1, ми додали можливість встановити параметри для відстеження спроб вторгнення шляхом пошуку паролів Сервера PPTP VPN (За замовчуванням ця функція увімкнена).

  6. У Keenetic всі потенційно вразливі параметри WPS відключені (використання PIN-коду відключено за замовчуванням, а алгоритм введення PIN-коду спеціально модифікований проти злому). Підтримується механізм WPSv2, і використовується захист від усіх відомих вразливостей, пов'язаних з WPS протоколом, (включаючи атаки Pixie Dust).

  7. В KeeneticOS був покращений захист від вразливості WPA2 KRACK (вразливість протоколу WPA2, відома як атака перевстановлення ключа KRACK).

  8. Що до таких атак, як 802.11r Fast BSS Transition (FT) CVE-2017-13082, вони не впливають на маршрутизатори Keenetic, які підтримують IEEE 802.11r стандарт.

  9. Маршрутизатори Keenetic не вразливі до KVE-2017-7494 (WannaCry, SambaCry).

  10. Захист від атак DoS і SYN-flood присутній в ядрі Linux, яке використовується операційною системою маршрутизатора.

    Відмова в обслуговуванні (DoS) і Розподілена відмова в обслуговуванні (DDoS) атаки базуються на відкритті багатьох з'єднань з пристроєм. DDoS атаки не відрізняються від однорангових мережевих операцій з точки зору об'єкта, на який вони спрямовані. Завдяки своїм особливостям, DDoS атаки і захист від них мають низьку актуальність як для пристроїв домашнього доступу, так і для сегмента SOHO. DDoS Атаки зазвичай спрямовані на корпоративні структури, публічні сайти, центри обробки даних тощо. Розподілені атаки відмови в обслуговуванні зазвичай ефективно вирішуються на стороні провайдера.

  11. Починаючи з KeeneticOS версії 3.1, реалізовано режим 'HTTPS Access' — заборона прямого доступу до IP-адрес і доменних імен маршрутизатора без сертифіката.

  12. Починаючи з KeeneticOS версії 3.4.1, в маршрутизаторах реалізовано блокування атак типу Перепідключення DNS, і воно увімкнено за замовчуванням.

  13. В KeeneticOS 3.6.6 додано виправлення для вразливостей безпеки мережі Wi-Fi, відомих як FragAttacs (Атаки фрагментації та агрегації): CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147. Оновлення стосується всіх моделей з KN-індексом.

  14. З випуску KeeneticOS 3.7.1, KeeneticOS очищає активні сеанси керування через вебінтерфейс Keenetic та мобільний додаток для покращення безпеки після зміни облікових даних користувача.

  15. Від KeeneticOS 3.7.1, реалізований захист від підбору пароля для віддаленого доступу до пристрою через доменне ім'я KeenDNS в хмарному режимі.

У цьому розділі: