Router odporny na wszystko

Do podstawowych zadań routera należy ochrona sieci lokalnej użytkownika. Tymczasem w wielu murach obronnych sieci kryją luki, które stanowią ogromne zagrożenie. Objaśniamy, jak w prosty sposób zabezpieczyć swój router, a zarazem całą sieć lokalną.


W ostatnim czasie producenci routerów nie mają lekko. Zdarzało się, że nie minął ani jeden dzień, w którym nie staliby w krzyżowym ogniu. AVM, Asus, D-Link – nawet liderzy branży musieli przyznać się do tego, że ich produkty nie zapewniają maksymalnej ochrony. Sprytnym cyberprzestępcom udawało się wykorzystywać luki w zabezpieczeniach, aby wdzierać się do routerów. Uzyskawszy do nich dostęp, odczytywali hasła lub modyfikowali je. Jak się okazuje, już nie tylko słabo zabezpieczona sieć bezprzewodowa stwarza najbardziej sprzyjające okoliczności do zaatakowania potencjalnej ofiary. Większość producentów routerów położyło kres temu procederowi, wyposażając swoje urządzenia w fabryczne szyfrowanie lub kreatora konfiguracji, który wymaga od użytkownika, aby ten włączył szyfrowanie. Dlatego cyberprzestępcy musieli poszukać innego sposobu na włamywanie się do sieci prywatnych użytkowników. I znaleźli go. Obecnie wykorzystują wygodnictwo większości użytkowników i niektórych producentów. Wielu właścicieli nie przykłada zbyt dużej wagi do obowiązku aktualizowania firmware’u (wewnętrznego oprogramowania) w swoich urządzeniach, zaniedbując tę powinność – jeśli w ogóle producent udostępnia aktualizacje jak najszybciej po ujawnieniu luki w zabezpieczeniach. Inni z kolei lubią konfigurować swój router zdalnie poprzez internet albo korzystają zdalnie ze swojej domowej sieci. Jeżeli sieć lokalna nie jest skutecznie zabezpieczona przed zagrożeniami z internetu lub aplikacja do zdalnego dostępu jest niechlujnie zaprogramowana, wystawiasz swoją sieć i zgromadzone w niej zasoby na ogromne ryzyko.

Na szczęście jest jeszcze dobra wiadomość – większość niebezpieczeństw związanych z routerami, możesz usunąć niewielkim nakładem pracy. Wystarczą drobne zmiany w konfiguracji tych urządzeń. W poniższym materiale podpowiadamy, gdzie kryją się największe zagrożenia. Ponadto objaśniamy, jakie czynności musisz wykonać, aby twój router nie był zaproszeniem dla cyberprzestępców.

Aby dostać się do interfejsu konfiguracyjnego routera, wystarczy wpisać odpowiedni adres w przeglądarce internetowej.

Aby dostać się do interfejsu konfiguracyjnego routera, wystarczy wpisać odpowiedni adres w przeglądarce internetowej.

Niebezpieczeństwo 1 – niedostatecznie zabezpieczony dostęp zdalny

Zdalne łączenie się z własnym routerem za pośrednictwem internetu stało się w ostatnich latach popularne. Kiedyś czynność tę wykonywali tylko administratorzy infrastruktury IT w celu przeprowadzenia konserwacji routera, chcąc zaoszczędzić sobie drogi do pomieszczenia, w którym znajdowało się owo urządzenie. Tymczasem dostęp w trybie zdalnym może przynieść wiele korzyści także prywatnym użytkownikom. Dzięki temu można zmieniać ustawienia routera i analizować jego działanie, będąc poza swoim miejscem zamieszkania. W ten sposób możesz w każdej chwili sprawdzać, czy połączenie DSL działa niezawodnie, lub ustalić, jak długo twoje dzieci korzystają z internetu. Oprócz tego możesz poprzez router uzyskać dostęp do swojej sieci lokalnej. Jest to bardzo wygodne i przydatne, bo możesz tak zdobyć np. nieodzowne dokumenty, które zostały na dysku stacjonarnego peceta, nie wracając po nie specjalnie do domu. Możesz też zgrać do laptopa lub smartfona filmy, utwory muzyczne lub zdjęcia z serwera NAS lub dysku sieciowego podłączonego do routera.

Cel

Aby dostać się do interfejsu konfiguracyjnego routera, wystarczy przeważnie wpisać lokalny adres IP routera w polu adresu dowolnej przeglądarki internetowej (w większości modeli jest to adreshttp://192.168.0.1 lubhttp://192.168.1.1). Niczym serwer WWW router wyświetli stronę internetową, na której musisz się zalogować, aby przywołać jego ustawienia. Gdy włączysz w menu konfiguracyjnym opcję o nazwie Zdalny dostęp, Zdalna administracja, Remote access, Remote management lub podobnej, uzyskasz możliwość przywoływania tej strony konfiguracyjnej także za pośrednictwem internetu. Zamiast lokalnego adresu IP musisz wpisać w tym celu publiczny adres IP, a więc ten, który został przydzielony routerowi przez operatora internetu. Dostęp do routera ma zatem każdy, kto zna wspomniany adres IP, a także odpowiednią nazwę użytkownika i hasło.

Aktualizowanie firmware’u ma kluczowe znaczenie w zabezpieczaniu swojej sieci lokalnej. Producenci, którzy dbają o swoje wyroby, zapewniają poprawione wersje oprogramowania nawet do modeli wycofanych ze sprzedaży.

Aktualizowanie firmware’u ma kluczowe znaczenie w zabezpieczaniu swojej sieci lokalnej. Producenci, którzy dbają o swoje wyroby, zapewniają poprawione wersje oprogramowania nawet do modeli wycofanych ze sprzedaży.

Ataki

Najbardziej spektakularne ataki w ostatnim czasie cyberprzestępcy przeprowadzili na routery AVM Fritz!Box. Routery realizują zdalny dostęp za pośrednictwem portu 443 – agresorom udało się dostać do nich właśnie poprzez ten port bez uwierzytelniania. Urządzenia nie wymagały poświadczenia tożsamości najwyraźniej z powodu niedociągnięć w ich wewnętrznym oprogramowaniu. W ten sposób cyberprzestępcy mogli wedrzeć się do konfiguracji routera i przechwycić hasła dostępowe. Oprócz tego utworzyli przekierowania połączeń telefonicznych, aby wywoływać numery komercyjnych usług zagranicą. Na skutek tego jeden z abonentów musiał uregulować rachunek za telefon w kwocie kilku tysięcy euro.

U innych abonentów cyberprzestępcy zainstalowali w podatnych na ataki routerach zmanipulowane przez siebie wewnętrzne układowe (firmware), a także program szpiegujący. W ten sposób mogli przechwytywać cały ruch sieciowy i pozyskiwać hasła dostępowe. Do przeprowadzenia opisanego ataku wykorzystali lukę w alternatywnym oprogramowaniu układowym DD-WRT.

Środki zaradcze

Możesz bardzo łatwo zabezpieczyć się przed atakami tego rodzaju. Wystarczy wyłączyć funkcję zdalnego dostępu do routera – lub go wcale nie włączać. W prawie wszystkich modelach routerów dostęp w trybie zdalnym jest domyślnie wyłączony. Jeśli jednak nie odpowiada ci to bezpieczne, lecz mniej wygodne rozwiązanie, zmień koniecznie dane dostępowe do strony konfiguracyjnej routera, a więc hasło i nazwę użytkownika, pod którą logujesz się na ww. stronie. Hasła domyślne są wyszczególnione w instrukcjach obsługi routerów, więc są powszechnie znane. Wykorzystaj do tego celu login i hasło, których nie używasz jako zabezpieczenia w jakimkolwiek innym miejscu – chociażby do blokowania dostępu do swojej skrzynki pocztowej lub konta w sklepie internetowym. Ponadto wiele modeli routerów pozwala ograniczyć zdalny dostęp tak, aby był możliwy tylko z określonych publicznych adresów IP. Możesz skorzystać z tej funkcji, jeśli zamierzasz nawiązywać zdalne połączenia z routerem za każdym razem z tego samego miejsca – np. komputera służbowego w pracy, któremu jest przypisany stały adres IP. Sprawdź w instrukcji swojego routera, czy zapewnia taką możliwość i w którym menu znajduje się stosowna funkcja. W wypadku wspomnianych routerów AVM Fritz!Box mieści się w rubryce Internet | Remote access lub Internet | Permit access (zależnie od modelu).

Test szczelności zapory

Zapora sieciowa w routerze powinna przepuszczać tylko nadchodzące odpowiedzi na zapytania z wewnątrz sieci. Jednak w każdym zabezpieczeniu są jakieś luki. Użytkownik mógł je wybić na własne życzenie, definiując wyjątki, aby uzyskiwać dostęp z internetu do własnej sieci lokalnej. Niektóre aplikacje – np. programy P2P i gry internetowe – wymagają wyjątków w zaporze do poprawnego działania. Oprócz tego luki mogą być spowodowane błędnie zaprogramowanym oprogramowaniem routera.

Witryna PC-Welt Browser Check pomoże ci wykryć takie luki. Serwis sprawdza domyślnie określony zestaw portów (najważniejsze znajdziesz w tabeli). Jeśli chcesz sprawdzić, czy inne porty są otwarte, wpisz ich numery w polu Check additional port. Przed rozpoczęciem testu musisz potwierdzić, że adres IP podany w polu Your IP address is jest przydzielony twojemu routerowi i wyrazić zgodę na dostęp do tego urządzenia. W tym celu zaznacz pole wyboru I hereby confirm that I am authorized to scan the IP address. Teraz zainicjuj test, klikając pole Check for open ports. W oknie przeglądarki pojawi się lista rezultatów. Jeśli wszystkie porty są oznaczone zielonym kolorem, router jest zabezpieczony przed atakami z zewnątrz. W przeciwnym razie musisz sprawdzić, czy sam otworzyłeś dany port, czy stoi otworem bez zezwolenia.

Niebezpieczeństwo 2 – brak aktualizacji wewnętrznego oprogramowania

Każdy router jest wyposażony w swój własny system operacyjny. W większości modeli jest to specjalna wersja środowiska Linux zapisana w firmwarze urządzenia. W wewnętrznym oprogramowaniu routera mogą skrywać się błędy – tak jak w każdym innym systemie operacyjnym. Dlatego producenci, którzy dbają o jakość swoich produktów, bezustannie udoskonalają firmware i starają się możliwie często wydawać nowe wersje. Natomiast użytkownicy, którzy przykładają duże znaczenie do bezpieczeństwa, regularnie aktualizują wewnętrzne oprogramowanie swoich routerów.

Cel

Wiele luk w zabezpieczeniach routerów możesz zlikwidować we własnym zakresie, wyłączając stosowne funkcje – tak jak np. w wypadku zdalnego dostępu (patrz wyżej). Jednak znacznie bardziej zasadne byłoby usunięcie tychże luk przez samego producenta, który powinien opublikować stosowną aktualizację firmware’u. Ponadto niektóre błędy w wewnętrznym oprogramowaniu można skorygować tylko poprzez wgranie zaktualizowanej, poprawionej wersji. Tymczasem wielu użytkowników ociąga się z aktualizowaniem firmware’u w swoich urządzeniach. Niektórym z nich czynność ta wydaje się zbyt skomplikowana, inni natomiast tłumaczą, że nie wiedzieli o wydaniu poprawki oprogramowania. Problem w tym, że cyberprzestępcy mogą wykorzystać do swoich celów to zwlekanie nieprzezornych użytkowników. Wiele luk zostało ujawnionych i udokumentowanych dawno temu – na przykład wspomniane niedociągnięcie w oprogramowaniu DD-WRT odkryto już cztery lata temu. Bardzo często przychylnie nastawieni hakerzy, którym udaje się złamać zabezpieczenia, zgłaszają lukę producentowi. Robią to w nadziei, że natychmiast udostępni użytkownikom poprawioną wersję oprogramowania. Jednak nawet w takiej sytuacji luka jest załatana dopiero wraz z wgraniem aktualizacji do routera.

Ataki

W określonych modelach routerów D-Link (np. DIR-100 lub DI-254) agresor może uzyskać dostęp do strony konfiguracyjnej urządzenia bez konieczności wpisywania hasła. W tym celu musi zmienić ustawienia przeglądarki dotyczące aplikacji klienckiej User Agent, wprowadzając odpowiedni ciąg liter i cyfr. Poprzez to swoiste tylne wejście oprogramowanie wewnętrzne routera ma bez problemu uzyskiwać dostęp do określonych ustawień – nawet wtedy, gdy użytkownik zmieni hasło chroniące konfigurację urządzenia. To niedociągnięcie w firmwarze mógł wykorzystać każdy agresor. Podobny problem występuje w routerach Sitecom WLM-3500. Model ten przechowuje na stałe w swojej pamięci dwa loginy i hasła, poprzez które można dostać się do interfejsu konfiguracyjnego routera.

Środki zaradcze

Przede wszystkim należy przestrzegać podstawowej zasady, wedle której należy aktualizować firmware routera zawsze, gdy pojawia się nowa wersja oprogramowania. Wiele modeli poszukuje automatycznie poprawek, gdy jest nawiązane połączenie z internetem. Router informuje użytkownika na stronie konfiguracyjnej o dostępności aktualizacji. Ponadto możesz samodzielnie sprawdzać w dziale pomocy technicznej w witrynie producenta. Kupując nowy router, zwracaj koniecznie uwagę na częstotliwość pojawiania się nowych wersji firmware’u. Producenci, którzy często wypuszczają aktualizacje, dbają szczególnie o wytwarzane przez siebie urządzenia – najbardziej daje się to we znaki w kwestii dostępności poprawek oprogramowania do starszych, wycofanych ze sprzedaży modeli. Jeśli to możliwe, warto więc zrezygnować z dzierżawy routera proponowanego przez dostawcę internetu. W większości wypadków aktualizacje wewnętrznego oprogramowania muszą zostać dostrojone do tych nietypowych modeli i zaakceptowane przez operatora internetu. Dlatego trzeba czekać dłużej na poprawkę – jeśli w ogóle się ukaże. Po ataku, o którym mowa powyżej, firma AVM opublikowała w ciągu trzech dni bezpieczne oprogramowanie do większości swoich modeli. Za to dostawcy internetu mogą samodzielnie wgrywać aktualizacje w trybie dostępu zdalnego. Umożliwia to protokół TR-69, który jest przeważnie włączony fabrycznie.

Najważniejsze porty.

Najważniejsze porty.

Niebezpieczeństwo 3 – niedociągnięcia w architekturze UPnP

Choć okazuje się wyjątkowo wygodny, protokół UPnP (Universal Plug-and-Play) jest obarczony tym samym ryzykiem co zdalny dostęp. Ma za zadanie ułatwiać wzajemną współpracę urządzeń multimedialnych w sieci domowej. Architektura UPnP pozwala włączać określone usługi lub otwierać porty w routerze w celu przesyłania treści multimedialnych. W większości modelów UPnP jest domyślnie włączone.

Cel

Zazwyczaj urządzenia komunikujące się za pośrednictwem UPnP nie wymagają od siebie wzajemnego uwierzytelniania. Nie budzi to żadnych wątpliwości w sieci lokalnej, lecz routery z lukami w wewnętrznym oprogramowaniu udostępniają usługi UPnP także w internecie. Router nasłuchuje na porcie 1900 (UDP), oczekując na zapytania UPnP. W razie żądania zdradza na zewnątrz informacje o sieci lokalnej. Co gorsza, zewnętrzne urządzenia mogą otwierać porty w zaporze sieciowej, korzystając z określonych usług UPnP.

Aktualizowanie firmware’u ma kluczowe znaczenie w zabezpieczaniu swojej sieci lokalnej. Producenci, którzy dbają o swoje wyroby, zapewniają poprawione wersje oprogramowania nawet do modeli wycofanych ze sprzedaży.

Aktualizowanie firmware’u ma kluczowe znaczenie w zabezpieczaniu swojej sieci lokalnej. Producenci, którzy dbają o swoje wyroby, zapewniają poprawione wersje oprogramowania nawet do modeli wycofanych ze sprzedaży.

Ataki

Cyberprzestępcy już od lat chętnie atakują sieci lokalne prywatnych użytkowników poprzez architekturę UPnP. Według raportu firmy Rapid7, która zajmuje się bezpieczeństwem w branży IT, na początku 2014 r. ponad 81 milionów adresów IP było dostępnych w internecie za pośrednictwem wywołań UPnP. Routery podatne na taki atak są wyposażone w przestarzałe lub wadliwe oprogramowanie obsługi UPnP takie jak libupnp lub MiniUPnP. Agresorzy wykorzystują tę lukę. Wysyłając zaledwie jeden pakiet danych, potrafią doprowadzić do przepełnienia bufora w tym oprogramowaniu, a następnie przemycić szkodliwy kod do atakowanego urządzenia. Testy Rapid7 wykazały, że zagrożenie obejmuje 6900 modeli routerów i innych urządzeń sieciowych ponad 1500 producentów (m.in. renomowanych marek Belkin, Cisco, Linksys czy D-Link). Także stosunkowo nowe modele takie jak np. D-Link DIR-865L są narażone na ataki poprzez UPnP. Agresorzy są w stanie wykonywać dowolne polecenia bez konieczności wprowadzania hasła we wszystkich egzemplarzach wspomnianego routera, których firmware jest starszy od wersji 1.05b03. D-Link usunął wymienioną lukę we wrześniu 2013 r., wydając odpowiednią aktualizację.

Środki zaradcze

Przede wszystkim należy wgrać najnowszą wersję firmware’u. Jednak chyba żaden z producentów nie ujawnia w opisie aktualizacji, czy usuwa ona lukę związaną z UPnP. Dlatego najpewniejszym, a zarazem najprostszym środkiem zaradczym jest wyłączenie obsługi UPnP. Jednak jest to związane z pewnymi niedogodnościami. W ten sposób zablokujesz wszystkie usługi multimedialne w swojej sieci lokalnej. Poza tym być może przestaną działać inne urządzenia w sieci (chociażby drukarka). Informacji, czy w twoim routerze można bez obaw korzystać z UPnP, trzeba poszukać w forach internetowych.

Jeśli wszystkie porty są oznaczone zielonym kolorem i opatrzone napisem closed, są zamknięte, więc nie masz powodu do obaw.

Jeśli wszystkie porty są oznaczone zielonym kolorem i opatrzone napisem closed, są zamknięte, więc nie masz powodu do obaw.

Niebezpieczeństwo 4 – luki w szyfrowaniu WPS

Wygoda kosztem bezpieczeństwa – wszyscy to skądś znamy. W najgorszym wypadku zagrożenie może stwarzać także mechanizm WPS (Wi-Fi Protected Setup), który pozwala zabezpieczać sieć lokalną poprzez naciśnięcie przycisku lub wpisanie numeru PIN (nie trzeba wprowadzać długich, złożonych haseł).

Cel

Zabezpieczenie jest na tyle skuteczne co jego hasło – ta zasada dotyczy także standardu WPS. Szyfrowanie możesz skonfigurować nie tylko, naciskając przycisk na obudowie routera. W metodzie z numerem PIN trzeba wpisać w oprogramowaniu urządzenia WLAN (którym chcesz nawiązać połączenie) numer podany losowo przez router lub widniejący na jego obudowie. Jeśli agresorowi uda się odgadnąć wspomniany numer, może wpinać się do cudzej, bezprzewodowej sieci lokalnej, gdy tylko znajduje się w jej zasięgu. Jeżeli zna fragment numeru lub sposób ustalania go przez router, jest w stanie złamać zabezpieczenie w ciągu kilku godzin.

Ataki

W routerach Vodafone EasyBox 802 i 803 wyprodukowanych przed lipcem 2011 r. można ustalić PIN na podstawie adresu MAC i numeru seryjnego urządzenia. Wystarczy prosty skrypt. Gdy agresor nawiązywał połączenie z routerem, podając zdobyty w ten sposób identyfikator PIN, otrzymywał w odpowiedzi hasło, a wówczas uzyskiwał pełny dostęp do atakowanej sieci WLAN. W międzyczasie udało się wykazać, że niedostatecznie zaimplementowano mechanizm WPS-PIN, przez co jest on podatny na próby złamania metodą ataku siłowego. Dysponując takimi programami jak Reaver, można wedrzeć się do obcej sieci bezprzewodowej w ciągu czterech do dziesięciu godzin.

Środki zaradcze

W wielu wypadkach najlepsze rozwiązanie zapewnia aktualizacja wewnętrznego oprogramowania. Usuwa błędy w implementacji WPS. W poprawionych wersjach firmware’u producenci przeciwdziałają atakom siłowym, uzupełniając je o tzw. funkcję lock down. Po odmowie dostępu spowodowanej wpisaniem błędnego numeru PIN router dopuszcza następną dopiero po upływie określonego czasu. Czas oczekiwania wydłuża się wraz z kolejnymi nieudanymi próbami. Zatem aby wedrzeć się do sieci, agresor musi poświęcić dużo czasu. W niektórych routerach można wyłączyć poszczególne metody WPS (sprawdź w instrukcji). Jeśli jest to możliwe w twoim modelu, koniecznie wyłącz funkcję WPS PIN i korzystaj od tej pory tylko z metody Push Button (PBC). W przeciwnym razie zaleca się wyłączyć cały mechanizm WPS.