כך תאבטחו את הראוטר הביתי שלכם כמו שצריך

עבור מרבית החברים והמכרים שלי בתחום ההייטק, המשמעות היחידה של אבטחת ראוטר חדש היא הגדרה של הצפנת WPA2 עם סיסמה בסיסית. הפעולה הנ”ל אינה מספיקה להגנה בפני פריצה לראוטר עצמו, וגם סיסמה פשוטה ל-WiFi לא תספיק בכל מקרה של התקפה על הראוטר

shutterstock router

בשנים האחרונות מתגברת התופעה של פריצה לראוטרים כדי לשנות את הגדרות ה-DNS שלהם באמצעות התקפות brute force וטבלאות raindow, או באמצעות Backdoors שקיימים בראוטרים של מרבית החברות השכיחות בארץ כמו D-link, TP-link, Cisco, Linksys, Checkpoint ו-Netgear. הדגמים שמחלקות בזק והוט ללקוחות שלהם מכילים גם הם את ה-Backdoors, והן אינן מעודדות את הלקוחות שלהן לשנות את שם המשתמש והסיסמה לגישה לתפריטים המתקדמים באשפי ההתקנה שלהן, או לעדכן את גרסת ה-Firmware.

שינוי ה-DNS של הראוטר משמש את התוקפים להפניה של המשתמש לאתרי פישינג או אתרים שמהם מודבק המחשב בנוזקה, ולחסימה של שרתי עדכון של תוכנות אנטי וירוס.

Sality עוברת לראוטרים

משפחת הנוזקות Sality קיימת כבר מעל ל-10 שנים, ונמצאת בדרך כלל בשלישיה הפותחת בטבלאות הסטטיסטיקה של ההדבקות העולמיות. מדובר בנוזקה מחוכמת, שעברה גילגולים ופיתוחים רבים לאורך השנים על מנת לשמור על ההובלה בתחום. בדרך כלל היא משמשת את התוקפים במסגרת של Botnet כדי לזייף קליקים על פרסומות וכדי לבצע התקפות DOS.

לאחר שהחלה Sality לרדת בכמות ההדבקות בשנה האחרונה, החליטו המפתחים שלה להשתמש בשיטה חדשה\ישנה – שינוי הגדרת ה-DNS בראוטר באמצעות כלי חדש שנקרא win32/RBrute כדי להפנות את הגולשים לאתרים שנראים כמו אתרים לגיטימיים, ודרכם לבצע את ההדבקה.

הכלי משתמש ב-Backdoors בראוטרים של TP-link, D-link ו-Cisco, ומה שרלוונטי מאוד בשבילנו בישראל הוא סדרת הדגמים D-link DSL-2XXXU שנפוצים מאוד אצל בזק.

קרדיט: צילום מסך

צילומסך

בצילום המסך ניתן לראות הדגמה של הפניית DNS להורדה של הדפדפן גוגל כרום שמדביקה את הגולש ב-Sality

WPA2 אינו חסין יותר

בשנים האחרונות שוחררו מספר כלים עבור Backtrack כמו Airmon–ng ו- Aircrack-ng וסקריפטים מבוססי Python שמאפשרים לפרוץ את מפתח ההצפנה של WPA2 בהתקפות brute force.

כמו במקרים רבים בתחום, האירוניה היא שמרבית הכלים הנ”ל שוחררו ע”י מומחי אבטחת מידע ונועדו “לבדוק את האבטחה של הרשת”. מספר תווים נמוך מ-12 או שימוש בספרות בלבד יכול לאפשר לתוקף לגלות את הסיסמה בתוך מספר דקות כפי שמודגם בסרטון הבא.


כדי להגן על הראוטר שלנו בפני התקפות, מומלץ לבצע מספר הגדרות שרובן פשוטות בשימוש במדריכים זמינים באינטרנט.

שנו את שם המשתמש והסיסמה

ניתן לגשת לתפריטים המתקדמים של הראוטר באמצעות הקלדת כתובת ה-IP שלו – חפשו את הכתובת של הראוטר שלכם על פי שם החברה והדגם, שנו את שם המשתמש לכל דבר שאינו Admin או Administrator, ושנו את הסיסמה לכזו שתכיל לפחות 12 תווים.

הגדירו הצפנת WiFi חזקה

הגדירו את הראוטר עם הצפנת WPA2 ושנו את הסיסמה לכזו שתכיל לפחות 12 תווים שמורכבים מאותיות קטנות, אותיות גדולות, ספרות ותווים מיוחדים. אם לא קיימת בראוטר אפשרות להגדרה של WPA2, כנראה שהגיע הזמן להחליף אותו.

שנו את גרסת ה-Firmware

גם ראוטרים “חדשים מהקופסה” מגיעים פעמים רבות עם גרסת Firmware ישנה יחסית. היכנסו לאתר היצרנית או לאתרים של בזק והוט, והורידו את הגרסה העדכנית. קיימים ראוטרים רבים שיש עבורם גם גרסאות open source לא רשמיות, שהן בדר”כ בטוחות יותר מהגרסאות הרשמיות. חיפוש קצר באינטרנט יוביל אתכם להוראות התקנה שיהיו פשוטות לרובכם.

אל תפרסמו את הרשת האלחוטית שלכם

השם שמקבלת הרשת האלחוטית שלכם כברירת מחדל יתן לכל תוקף פוטנציאלי מושג מהו הדגם שבו אתם משתמשים. גם שינוי של השם לא יגן עליכם בפני התקפות brute force. לכן מומלץ לבטל את האפשרות של פרסום השם (SSID) של הרשת האלחוטית, כך שלא תופיע בסריקות אוטומטיות, ולהתחבר אליה בהקלדה ידנית של השם שלה.

הגדירו רשימה של התקנים שרשאים להתחבר לרשת שלכם

למחמירים באבטחה ניתן להגדיר רשימה של התקנים מורשים על פי ה MAC address של ההתקן. אמנם זה דורש עוד קצת עבודה בהגדרה של כל התקן חדש שתוסיפו לרשת, והאורחים שלכם יתלוננו שהם לא מצליחים לחבר את הסמארטפונים שלהם ל WiFi שלכם, אבל עם התכניות והמהירויות שמציעות היום חברות הסלולר תוכלו לפטור את הטענות שלהם בקלות.

אם הראוטר כבר נפגע – החליפו אותו

במקרה שאתם חושדים שהראוטר שלכם כבר הותקף (כתובת IP לא מוכרת בהגדרת ה-DNS היא סימן מובהק), יתכן שגם שונתה גרסת ה-Firmware, ובמקרה כזה אין טעם לאפס את ההגדרות שלו או לשדרג את גרסת ה Firmware (אל תסתמכו על מספר הגרסה המופיע בתפריט של הראוטר – רוב הגרסאות הנגועות מציגות מספר של גרסה רשמית). למרות שאיפוס ידני באמצעות כפתור משחזר את ההגדרות המקוריות שלו, מכילה גרסת ה Firmware גם הגדרות ראשוניות, ולכן גרסאות נגועות ישארו פעילות. גם עדכון של גרסת ה-Firmware מתבצע בהתבסס על ההגדרות של ה-Firmware הקיים ולכן אין לסמוך על פעולת העדכון.

קרדיט תמונה: router via shutterstock



הכתבה בחסות ESET

חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה - ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android - מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.


בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT  בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.


בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, 
עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.

אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

23 תגובות על "כך תאבטחו את הראוטר הביתי שלכם כמו שצריך"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
בלה
Guest

אם אתה רוצה באמת לאבטח אותו, תתקין OpenWRT\DD-WRT. אחרת הוא לא יהיה מאובטח עם כל ה- backdoorים שהחברות שמות בהם.

אמיר כרמי
Guest

אלה באמת פרויקטים טובים של פיתוח open source firmware ובטוחים יותר מה firmware שזמינים באתרים של החברות

שלומי כהן
Guest

תודה על הטיפים.
אני חושב לבטל את פרסום שם הרשת אך רוצה עדיין להשאיר נגישות קלה לאורחים. אם אפעיל את אופציית ה-WPS בכל פעם שאורח רוצה להתחבר, האם זה עדיין מאובטח מספיק? או שיש פרצות אבטחה גם ב-WPS?

תודה

שלומי כהן
Guest

עכשיו ראיתי שזה בלתי אפשרי, שכן WPS מסתמך על ה-SSID.
באסה. :)

אמיר כרמי
Guest

פריצת מספר ה PIN של WPS היא קלה מאוד, ולכן המלצתי על ביטול הפרסום של ה SSID.
ניתן גם לגלות רשת נסתרת, אבל לפחות אנחנו נמנעים מפירצה שקוראת לגנב.

אוריאל
Guest

רגע, אם הפחד הוא מפריצה להגדרות של הראוטר, לא יותר פשוט זה להחליף סיסמא לראוטר למשהו יותר מאובטח וזהו?

אמיר כרמי
Guest

אני ממליץ שתקרא שוב את ההמלצה הראשונה שלי – מומלץ להחליף גם את שם המשתמש.

סרגי
Guest

הסתרת הרשת והגדרה סטטית של משתמשים ע”פ כתובות MAC, לא הגנה שבאמת תורמת למשהו. אפשר לגלות רשת נסתרת בקלות , וכן לעשות spoof לMAC ולעקוף את ההגנות הנ”ל.
הכי טוב זה להשתמש ב WPA2-AES ולהגדיר סיסמא לא נפוצה עם 8+ תווים.
ממה שאני מכיר WPA2-AES די חסין מפרצות ( פרט לbrute force ומתקפות מילון, שעם זה אין יותר מידי מה לעשות )

אמיר כרמי
Guest

אפשר לפרוץ את כל ההגנות שציינתי, אבל כל הגנה נוספת תרתיע תוקפים פוטנציאלים שמחפשים מטרות קלות בדר”כ.

ישראל
Guest

שכחת לכתוב שחובה לכבות את הWPS..

אמיר כרמי
Guest

ברוב הראוטרים ה WPS מנוטרל כברירת מחדל, זה תלוי אם קיים בראוטר כפתור פיזי או לא, אבל ההערה שלך נכונה שצריך לבדוק את זה אם רוצים לנטרל את ה SSID.

חן
Guest
נראה לי שהאמרה “מספר תווים נמוך מ-12 או שימוש בספרות בלבד יכול לאפשר לתוקף לגלות את הסיסמה בתוך מספר דקות כפי שמודגם בסרטון הבא.” ממש מטעה. אם נעשה את החישוב, נגיד ונרצה לבדוק רק אותיות לועזיות קטנות וגדולות ביחד עם ספרות (בלי תווים מיוחדים), נקבל 26 אפשרויות עבור אותיות קטנות, 26 אפשרויות עבור האותיות הגדולות, ועוד 10 אפשרויות עבור הספרות, סה”כ 62 אפשרויות. בהנחה שנרצה לבדוק סיסמאות באורך 8 (ולא מאורך X עד אורך Y כמו שעושים בדרך כלל) בלבד, נקבל 62 בחזקת 8 סיסמאות לבדיקה, שזה יוצא 218340105584896 סיסמאות. מחשב רגיל בודק בערך 500-1000 סיסמאות בשניה, כאשר כמובן יש… Read more »
חן
Guest

אגב, אם אדם יגדיר סיסמא שעשויה מספרות בלבד (שהיא לא בתבנית של מספר טלפון) באורך 10, עדיין יקח לפורץ 11.5 ימים כדי לבדוק את כל האפשרויות. לא מעט…

אמיר כרמי
Guest

שלום חן,

במהלך סוף השבוע הצליח בחור מהמשרד שלי לפרוץ סיסמת WPA2 של השכנים שלו עם 13 אותיות (ללא ספרות וסימנים מיוחדים) בתוך 24 שעות עם כלי אחר מאלה שציינתי בכתבה.

קיימים כלים רבים לפריצת סיסמאות, ואני צירפתי הדגמה רק של אחד מהם.

לכן רצוי ליישם את המוטו better safe than sorry ולא להניח שאנחנו מכירים את כל הכלים.

חן
Guest

היי כרמי,

פספסת את הפואנטה שלי.

כמובן שאם תבדוק את כל האפשרויות לסיסמא כזו תצטרך לחשב זאת מספר רב (מאוד) של שנים (באותו החישוב שעשיתי קודם לכן).

Better safe than sorry זה משפט שצריך לתת לו קו בסיס של יחס כלשהו. הפתרון הוא לא לעשות סיסמאות של 30 תווים אלא לעשות לדוגמא סיסמא באורך 13 תווים רנדומליים שאף התקפת מילון לא תצליח לתפוס. לצורך העניין, מספיקים 8 תווים רנדומליים.

כל הכוונה שלי הייתה שהכתבה מטעה ומגזימה (מאוד). מספיק שהיית מביא קצת טיפים כמו איזה סיסמא לבחור (אקראית ושלא ניתן יהיה לנחש אותה ממילון) ומה האורך המינימלי המספיק כדי שלא יוכלו לעשות BruteForce.

בהצלחה

אורח
Guest

כל סיסמא שלא מבוססת על נתון אישי כמו תעודת זהות מספר טלפון שם של הילדים או חיית המחמד. לבחור משהו ערטילאי ולא קשור לכלום. ולא שמות של אנשים. כי רוב הפריצות מריצות שמות של אנשים. למשל שם צמח ארוך, אולי כרזנטימות_כחולות32 אני לא משתמש בשם כזה מסובך לי לרשום באנגלית…. חחח

אני
Guest

מה לגבי החלפת מפתחות WPA2 באופן דינמי? מה מומלץ וכל כמה זמן?

אמיר כרמי
Guest

במידה והגדרת סיסמה בעלת 13 תווים ומעלה עם אותיות קטנות, גדולות, ספרות וסימנים מיוחדים, אני לא רואה צורך בהחלפת מפתחות דינמית.
אם הראוטר שלך מאפשר הגדרה של המאפיינים הנ”ל לסיסמה בהחלפה דינמית של המפתחות אפשר להגדיר שיוחלפו בכל חודשיים-שלושה, אבל תזכור שתצתרך לעדכן אותה עבור כל המכשירים המחוברים ל WIFI.

Mag-IX
Guest

כמות הראוטרים בארץ עם דלת FTP פתוחה לרווחה היא לא תיאמן.
זה שיש לכם ספרים על אבטחה על ההארד דיסק שלכם – לא עושה אתכם מומחי אבטחה.
(כן יבגני מרמת גן, אני מדבר גם אלייך… חוץ מזה כבר הרבה זמן לא הורדת סרטים חדשים, מה קרה? )

mordahan010
Guest

דבר נוסף שחשוב מאוד הוא לבטל את האפשרויות של (wpa pin(wps מכייון שהפרוטוקול משתנש באימות handshake של קוד ספרות המורכב מ 8 ספרות ( שאחת מהם היא רק סיפרת ביקורת ככה שיש לנו 7 ) ונתן לפריצה בזמן קצר יחסית עם תוכנה מתאימה
2 לבטל את האפשרויות של חיבורים אוטומטיים באמצעות upnp שזהו גם כן מנגנון המכיל חולשות אבטחה ידועות

אבטחה
Guest

איך יודעים איזה ראוטר כן מאובטח ולא מכיל את ה backdoors? איזה ראוטר כדאי לקנות והאם קיים ראוטר ללא backdoors? אם כן תוסיפו של או דגם וכו’

אבטחה
Guest

איזה ראוטר לא מכיל את ה backdoors עליהם דיברתם בתחילת הכתבה? איזה חברה או דגמים אפשר לקנות שיהיו 100% מאובטחים אם מיד שמים סיסמה ועושים את הפעולות שהצעתם? אולי זה נראה כבקשת פרסום, אבל זה חשוב כי בלי זה הפעולות שהצעתם נותנות מענה חלקי ולא שלם לאבטחה של הראוטר. תודה

ניוטון
Guest

יש לי ראוטר של נייטגיר, ביטלתי את הרשת חינם, דרש איזה מיניפולציה. וקבעתי שם לרשת, כל המכשירים מכירים את השם גם המתגים החכמים. מה שקורה פעם בכמה זמן בזק לוקחים שליטה ומשנים דברים כמו שם הרשת ומחזירים את הרשת החינם. ביומיים האחרונים יש גימגומים וגיליתי ששוב נכנסו ושוב לתקן… איך מגבילים את הכניסה שלהם. אגב רק בטלפון מופיע נדרש כניסה מחדש. ולא במחשב… כי המחשב מחובר לשני ראוטרים. שאליהם מחוברים דיסקים. הפרטי שני דיסקים של בזק רק אחד.

wpDiscuz

תגיות לכתבה: