Podle průzkumu agentury Median firmware routeru pravidelně aktualizuje jen 17 % českých uživatelů. Přitom aktualizace jsou alfa a omega péče o internetová zařízení.

Pro routery neexistuje antivirová ochrana, kterou byste mohli jen nainstalovat a na bezpečnost v podstatě zapomenout. Pro útočníky jsou tak routery snadný cíl. Ne vždy je zneužívají k přístupu k vaší komunikaci a údajům. Častěji bývají napadené routery zneužity k botnetovým útokům a těžbě kryptoměn.

Najděte si po svátcích chvilku a zkontrolujte si základní bezpečnostní parametry.

Nastavte si vlastní heslo

Základní chybou je ponechat výchozí přihlašovací údaje od výrobce nebo poskytovatele připojení. Zpravidla jsou hesla generická či jednoduchá, aby je uživatel mohl snadno změnit. Předem nastavená hesla bývají známá (např. heslo „admin“) a útočník je bude zkoušet jako první. Heslo si nastavte vlastní. Pokud si nejste jistí, přečtěte si článek, jak má bezpečné heslo vypadat.

Heslem opatřete také všechny sítě, které router vytváří. Obecně experti doporučují mít minimálně dvě sítě: jednu pro členy domácnosti a druhou pro návštěvy. Díky tomu budete mít jistotu, že nejosobnější data sdílíte v rámci jedné sítě jen se svými nejbližšími.

Aktualizujte router

Jedná se především o aktualizace firmwaru, který zajišťuje bezpečnost routeru. Počítač nebo telefon uživatelé aktualizují běžně. Tato zařízení ostatně aktualizace aktivně vyžadují. Tak proč ne router?

Některé routery se aktualizují automaticky. Pokud si kupujete nový, vybírejte takový, který tuto funkci má. Levnější zařízení to ale neumí. V nejhorších případech výrobce aktualizaci ani neumožňuje. Takovým routerům se, pokud možno, vyhněte.

Aktualizace je v případě routerů jednorázová záležitost. Vaše nastavení a verzi si můžete zkontrolovat v administrátorském rozhraní. Pokud se vaše zařízení neaktualizuje automaticky, navykněte si čas od času aktualizace zkontrolovat online a případně stáhnout.

Nastavte si firewall

Firewall funguje jako ochrana síťové komunikace. Umožní například nastavit podmínky, jaký obsah lze ze sítě otevřít, přijímat či odesílat. To ocení především rodiče, kteří takto mohou snadno nastavit základní pravidla dětem pro používání internetu. Pomocí firewallu lze zablokovat konkrétní URL i obecnější slova jako například „porno“ či „facebook“.

Zkontrolujte, kdo je připojený

Moderní bezpečnostní programy umí kontrolovat i domácí síť včetně routeru. Nejnovější edice našich produktů pro domácnosti nabízí přehledný diagram, jaké zařízení je připojené a dokáže upozornit na případné zranitelnosti zařízení. Uvidíte zřetelně telefony, počítače, tiskárnu i komponenty chytré domácnosti.

Zařízení si můžete pojmenovat (například podle jména majitele) a do budoucna tak sledovat aktivitu ve vlastní síti. Monitoring sítě spouštějte pravidelně.

Proč je dobré se starat o router?

Digitální hrozby se neustále vyvíjí a téměř každý den se daří objevovat nové druhy zranitelností. Bezpečnost a ochrana musí být součástí všech zařízení, která by se mohla stát cílem útočníků. Přesto stále ignorujeme bezpečnostní hrozby, které s nimi souvisí. Platí to i v případě routeru. Většina těchto zařízení obsahuje široké spektrum funkcí, nástrojů a různých konfigurací. To na jedné straně zvyšuje jejich potenciál pro uživatele, ale na druhé straně zvyšuje riziko výskytu možných útoků a hrozeb.

Bez ohledu na to, jaký model routeru máte ve vaší domácnosti, musíte se o něj pravidelně starat. Pokud je nedostatečně zabezpečený, zvyšujete tím šanci napadení vaší domácí sítě škodlivým softwarem, phishingovým útokem nebo dokonce ulehčujete útočníkům práci se získáním přístupu k vašim osobním datům nebo bankovním údajům.

Jak se starat o router?

Prvním krokem ke zvýšení zabezpečení vašeho routeru je změna hesla přednastaveného od výrobce ihned po zakoupení tohoto zařízení. Tato hesla bývají často veřejně známá, což zvyšuje pravděpodobnost, že je útočníci lehce uhádnou a dokáží se k routeru přihlásit. Poté překonfigurují jeho nastavení nebo ohrozí vaše připojení k síti. Pokud to je možné, měli byste si okamžitě změnit uživatelské jméno, stejně tak i klíč. Nové heslo nebo fráze by měly být dlouhé, složité a unikátní. Rozhodně by to nemělo být stejné heslo, které používáte pro přihlašování do jiných zařízení nebo účtů.

Audit vašich zařízení

Víte, kolik zařízení je připojeno do vaší domácí sítě? Pokud ne, udělejte si vlastní audit. Tento krok je klíčem ke zjištění, zda došlo k narušení nebo nezvyklým jevům ve vaší síti. Mnoho routerů usnadňuje identifikaci připojených zařízení, protože místo používání poměrně těžce pochopitelných označení, jako jsou MAC adresy, vám umožňují vytvářet personalizované názvy pro každé zařízení.

Funkce Zařízení v domácí síti je rovněž součástí bezpečnostního řešení ESET Internet Security. To vám pomůže odhalit bezpečnostní zranitelnosti v rámci vaší domácí sítě, jako např. slabé heslo routeru nebo otevřené porty. Poskytuje také seznam připojených zařízení, přičemž tato zařízení jsou rozdělena do kategorií podle typu (např. tiskárny, routery, mobilní zařízení, atd.). Kromě kategorií zde naleznete i podrobné informace, včetně následujících údajů: název zařízení, typ zařízení, poslední připojení, název sítě, IP adresa, MAC adresa. Díky tomu budete mít přehled o tom, jaká zařízení jsou připojena k vaší domácí síti.

Testy zranitelností

Abyste objevili případná slabá místa v nastavení vašeho routeru, můžete provést testy zranitelností. Ty jsou rovněž součástí našich bezpečnostních řešení, včetně ESET Internet Security nebo ESET Smart Security Premium. Zjistíte tak, zda nepoužíváte na routeru slabé heslo, nebo zda router nemá zastaralý firmware, a zároveň se dozvíte o možnostech nápravy. Na případné zranitelnosti můžete otestovat také všechna chytrá zařízení připojená k vaší domácí síti a rovněž k nim dostanete návrh řešení případných problémů.

Aktualizujte, aktualizujte!

V samotném srdci se router podobá počítači. Proto musí být jeho operační systém, zabudovaný jako firmware, pravidelně aktualizován, aby se předešlo případným bezpečnostním zranitelnostem. Mnohé routery jsou přeplněny bezpečnostními dírami, hlavně kvůli jejich zastaralému firmwaru. Ty vznikají právě tehdy, pokud jako vlastními routeru nevěnujeme dostatečnou pozornost jeho instalaci a aktualizaci.

Pokud chcete zkontrolovat, zda je firmware vašeho routeru aktualizovaný, přejděte do panelu administrátora. Pokud vlastníte moderní router, který se automaticky aktualizuje anebo vás na potřebnou aktualizaci upozorní, stačí, když navštívíte webové stránky dodavatele a zkontrolujete, zda je v daném okamžiku dostupná aktualizace. Jak často je potřebná taková kontrola? Jednoznačně se nejedná o jednorázovou záležitost. Doporučujeme vám pravidelně kontrolovat dostupnost nových aktualizací, alespoň několikrát ročně. Kromě aktualizací potřebných k opravě zranitelností může tato nová verze firmwaru zahrnovat i vylepšení výkonu a další nové funkce, které souvisí s jeho zabezpečením.

Může však nastat situace, kdy výrobce routeru přestane vydávat aktualizace určené pro vaše zařízení. Většinou se to stává v případě starších modelů. Tehdy je nejideálnější zakoupit novější router.

Pro výzkum bylo využito 186 Wi-Fi routerů ze segmentu SOHO (malá kancelář či domácnost). Routery byly od 14 různých výrobců dostupných na americkém trhu.

„Naše analýza ukazuje, že ze 186 testovaných routerů je 155 (83 %) zranitelných vůči potenciálním kybernetickým útokům na firmware. Na každý ze 155 identifikovaných routerů připadá 186 zranitelností,“ uvádí report nazvaný Bezpečnost IoT zařízení: Jak bezpečný je váš Wi-Fi router. To je více než 32 003 známých bezpečnostních děr.

Riziko pro uživatele spočívá v kompromitování osobních informací, což může vést k dalším škodlivým aktivitám, krádežím identity nebo jiným podvodům. Napadený router může útočníkům také sloužit jako vstup do vaší sítě.

Samozřejmě, že ne všechny zranitelnosti routerů jsou stejně závažné

Podle databáze NVD (National Vulnerability Database’s ranking of vulnerabilities) je 7 procent detekovaných zranitelností kritických a dalších 21 procent je klasifikováno jako chyby s vysokým rizikem zranitelnosti. Střední riziko vykazuje 60 procent chyb. V průměru každý router obsahoval 12 kritických zranitelností a 36 zranitelností s vysokou závažností.

Bezpečnost routeru není radno podceňovat. Zabezpečení přitom nemusí být nic složitého, stačí dodržovat několik základních pravidel. Více informací se dozvíte v článku Jak správně zabezpečit router a zabránit tak prolomení vaší wi-fi? nebo 5 rad pro zabezpečení routeru.

V článku, jak správně zabezpečit router, jste se mohli dozvědět základní informace o tom, jaké kroky je potřeba učinit k zabezpečení routerů. V tomto článku se dočtete další důležité konkrétní body pro administrativu a konfiguraci routerů nezbytné pro vyšší bezpečnost vaší domácí sítě.

1. Proveďte testy připojení a ověření

Routery umožňují správu a konfiguraci pomocí některých portů v místní síti, lze to provést přes LAN kabel nebo pomocí bezdrátového připojení. Obvykle můžete nastavit router přes web, routery však také umožňují připojení jiným službám a portům, například FTP (port 21), SSH (22), Telnet (23), HTTP (80), HTTPS (443) nebo SMB (445).

Dále existují různé další známé a používané služby, jejichž výchozí porty jsou díky IANA (Assigned Numbers Authority) nastaveny jako internetové standardy. Konfigurace blokovaných portů by měla být na vašem routeru nastavena defaultně, pro jistotu však nastavení zkontrolujte – jinými slovy, můžete povolit jen služby, které chcete používat, ostatní zablokujte. Zablokovat můžete rovněž všechny nepoužívané porty, dokonce i pro vzdálené připojení (samozřejmě kromě těch, které jsou nutné).

Stejnou logiku můžete použít na hesla pro správu služeb. Z bezpečnostního hlediska je žádoucí změnit přednastavené administrátorské heslo a uživatelské jméno. Používáním výchozích přihlašovacích údajů se vystavujete riziku, že útočníci heslo uhádnou nebo prolomí, čímž by se mohli snadno přihlásit k vašemu routeru a přenastavit ho nebo kompromitovat vaši síť. Jak vytvořit bezpečné heslo se dozvíte zde.

2. Na routeru proveďte testy zranitelnosti

Při hledání slabých míst na vašem routeru můžete využít speciální nástroje, které otestují router, například na přítomnost známých zranitelností i s doporučením, jak nalezené zranitelnosti řešit. Podobné nástroje nakonec zneužívají i útočníci pro nalezení nejslabšího místa v perimetru. Je tedy vhodné být krok před nimi a případné zranitelnosti včas odstranit. Základní testy bezpečnosti routeru většinou obsahují i anti-malwarerová řešení, která zkontrolují, zda došlo ke změně defaultního hesla. Zkontrolují také sílu hesla nebo zda je nainstalována aktuální verze firmwaru routeru.

3. Zkontrolujte připojená zařízení v síti

Další způsob, jak můžete svůj router a celou domácí sít zabezpečit, je identifikovat, jaká zařízení jsou k vaší síti připojená. Neautorizovaná zařízení, kromě toho, že zbytečně vytěžují síť, mohou představovat značné bezpečnostní riziko.

Ať už je tento krok proveden pomocí automatizovaného softwaru nebo ručně pomocí nastavení routeru, spočívá v povolení konkrétních zařízení za pomocí filtrů, které udělují přístup konkrétním MAC adresám.

4. Aktualizujte všechna zařízení v domácí síti

Důležitost pravidelných aktualizací si můžeme připomenout například na zranitelnosti šifrovacího protokolu WPA2 s názvem Krack (Key Reinstallation Attack). Ta v případě úspěšného podstrčení falešného klíče umožňuje útočníkům zachytávat komunikaci připojených zařízení na podvodné Wi-Fi síti, případně se mohou rovnou pokusit na dané zařízení instalovat škodlivý kód. Pravidelné aktualizace používaného softwaru, ale i firmwaru na zařízeních, jsou základním stavebním kamenem bezpečné domácí sítě.

5. Povolte bezpečnostní funkce

Při konfiguraci routeru povolte všechny bezpečnostní funkce, které dané zařízení nabízí. Ačkoli se routery u jednotlivých výrobců funkčně liší, u většiny najdete funkce, které umožňují zvýšit ochranu proti známým DoS útokům (Denial of Service) jako SYN Flooding, ICMP Echo, ICMP Redirection, Local Area Network Denial (LAND), Smurf nebo WinNuke.

Minulý rok ESET testoval 12 000 domácích routerů, u 15 % z nich bylo použito slabé heslo a ve většině případech také „admin“ jako uživatelské jméno. Lepší zabezpečení domácího routeru je přitom to nejjednodušší, co pro zabezpečení své domácnosti a technologií můžete udělat. Říjen je měsícem evropské kybernetické bezpečnosti, udělejte doma revizi zabezpečení, pomůžou vám k tomu tyto 4 kroky:

Vyberte si ten správný router

Než router koupíte, přečtěte si online recenze a zaměřte se na lehce použitelné funkce zabezpečení. Zabezpečení WEP bylo prolomeno již dávno, nedávný útok KRACK ukázal, že i WPA2 zabezpečení může být zranitelné.

Aktualizujte firmware

Je snadné zapomenout zkontrolovat aktualizace routeru. Přihlaste se k odběru upozornění výrobce, budete tak upozorněni vždy, když vyjde nová aktualizace.

Zakažte UPnP (Universal Plug and Play)

Většina lidí tuto funkci nevyužije, můžete ji zakázat. Tato funkce umožňuje přístup k routeru bez autentizace, takže je dobré ji v rámci bezpečnosti deaktivovat.

Vypněte vzdálenou správu

Vypnutím vzdálené zprávy budete mít jistotu, že vám hackeři nebudou moci změnit nastavení routeru. K většině změn v nastavení bude potřeba fyzický přístup.

S přibývajícími zařízeními v našich domácnostech by měla být bezpečnost na prvních místech, obzvláště pokud jde o internet věcí. Jestliže si nejste jisti, jak na tom váš router je, na serveru bleepingcomputer.com najdete seznam společností, které již vydaly pro své zákazníky patch.

Zdroj: welivesecurity.cz

Základní, ba přímo školáckou chybou je ponechání výchozích přihlašovacích údajů, které do routeru zadal výrobce nebo poskytovatel internetového připojení. Zpravidla jde o jednoduchá a lehce odhalitelná uživatelská jména a hesla typu admin/admin nebo 12345/heslo, která útočníci při pokusech o průnik do sítě zkouší jako první. Úplně nejhorší variantou je situace, kdy si uživatel administraci routeru vystaví do internetu a tudíž je možné ji prolomit zvenku. Třetím nejčastějším úskalím routerů je neaktuální firmware, který může obsahovat různé zranitelnosti.

Málokterý uživatel tuší, že vedle počítače a notebooku by měl pravidelně aktualizovat také router

Některé routery dokáží aktualizace spouštět automaticky, u jiných to výrobci neumožňují a u některých dokonce výrobce aktualizace vůbec neprovádí. Obecně platí, že čím levnější je router, tím je zpravidla podpora ze strany výrobce horší. Neaktualizovaný firmware byl přitom příčinou loňského masivního útoku speciálního malware na stovky českých routerů, který se projevil výpadkem připojení k internetu nebo zobrazováním jiných webových stránek, než které uživatel zadal do internetového prohlížeče.

Obětem útoku se místo požadovaných stránek zobrazovalo upozornění o nutnosti instalovat Flash Player, s nímž se ale do počítače stáhl další malware. Útočníci tak získali kontrolu nejen nad routerem, ale i nad počítačem, který byl připojený k síti vytvořené tímto routerem. Napadení se nevyhnuli ani uživatelé, kteří měli pečlivě zaheslovaný router. Měli smůlu v tom, že jejich zařízení bylo starší a nemělo aktualizovaný firmware.

Prostřednictvím zranitelnosti routerů je možné rovněž stahovat jejich konfiguraci a potom je hromadně napadat. V roce 2014 prováděl server Root.cz vlastní šetření na této zranitelnosti a zjistil, že ji obsahuje přes pět tisíc routerů v České republice a na šest tisíc na Slovensku.

Jak se tedy účinně bránit před útoky na routery?

Jedinou správnou cestou je koupě kvalitního routeru, který podporuje automatické aktualizace firmware a nevystavuje do internetu svoji administraci. Pokud uživatelé přesto vystavují do internetu některé porty, mělo by jich být co nejméně a ideálně by měly být přesměrovány (port forwarding). Například pokud chce mít uživatel na internetu dostupné SSH běžící nativně na portu 22, na routeru otevře ven port 88 a v routeru nastaví pravidlo „co přijde zvenku na 88, přepošli do lokální sítě nějakému stroji na 22“.

I když pro routery neexistují speciální antivirové programy, s jejich ochranou hodně pomůže nástroj ochrany domácí sítě, který je například součástí bezpečnostního balíčku ESET Smart Security Premium. Tento modul dokáže zobrazit všechna zařízení (počítače, telefony, tiskárny atp.) připojená do domácí sítě. Zároveň obsahuje nástroj pro kontrolu domácího routeru. Uživatel si tak může ověřit, zda router nebyl napaden, zda používá aktuální firmware, nesměruje jej na podvodné DNS

Můžete tak ověřit, zda není hacknutý, používá aktuální firmware, nesměruje vás na podvodné DNS servery, neobsahuje bezpečnostní díry a případně, jestli nepoužíváte výchozí přihlašovací údaje do jeho administrace, což je bezpečnostní riziko. Domácí routery se dostávají do hledáčku autorů škodlivých kódů, protože díky bezpečnostním zranitelnostem je snadné je ovládnout a následně je mohou zneužívat pro DDoS útoky, případně vás směrovat na podvodné stránky.

Modul rovněž zobrazí všechna zařízení připojená do sítě

Kliknutím na ikonu konkrétního zařízení pak uživatel zobrazí detailní informace jako je IP adresa, MAC adresa či název zařízení.

Ochrana domácí sítě může zároveň upozornit na nové zařízení, které se připojí do sítě ve chvíli, kdy je k ní připojen i uživatel. Sdělí však také informaci o novém zařízení, které se objevilo v síti během doby, kdy uživatel nebyl připojen – v tomto případě se k němu upozornění dostane ve chvíli, kdy se znovu připojí do sítě.

Výsledky průzkumu

Výsledky průzkumu jsou poměrně alarmující. Každý sedmý router, konkrétněji 15 procent zařízení zapojených do testu, používalo slabá hesla, nejčastěji s uživatelským jménem „admin“. Z průzkumu dále vyplynulo, že přibližně sedm procent testovaných zařízení obsahovalo zranitelnost, kterou bychom mohli označit jako středně nebo vysoce vážnou. Skenování portů odhalilo, že síťové služby jsou velmi často přístupné nejen z vnitřních, ale i z externích sítí.

„Test se zaměřil na kontrolu výchozích uživatelských jmen a hesel a jejich nejčastěji používaných kombinací. Je znepokojující, že v jednom případě ze sedmi byl útok úspěšný,” říká Peter Stančík, Security Evangelist společnosti ESET. „Zejména nezabezpečené služby jako je Telnet by rozhodně neměly být otevřené a to ani do interních sítí, což bylo bohužel zjištěno ve 20 procentech případů,“ dodává Stančík.

Více než polovina nalezených zranitelností vycházela z nevhodně nastavených přístupových práv. Druhou nejčastější zranitelností (zjištěna byla ve 40 procentech případů) bylo zneužití použitých příkazů metodou „command injection“. Ta cílí na spouštění libovolných příkazů ve vzdáleném operačním systému skrze zranitelnosti v aplikacích, které nemají dostatečně ošetřeno ověření vstupů. Bezmála 10 procent softwarových zranitelností se týkalo takzvaného cross-site scriptingu (XSS), který umožňuje útočníkovi měnit konfiguraci routeru tak, aby mohl spouštět škodlivé skripty na straně klienta.

„Výsledky ukazují, že routery lze napadnout poměrně jednoduše zneužitím některé z nalezených zranitelností. Mohou se tak stát Achillovou patou zabezpečení domácností i malých firem,” dodává Stančík. Funkce ochrana domácí sítě, již nabízí aktuální verze produktů ESET Smart Security a ESET Smart Security Premium, nabízí kromě skenování a testování routerů na přítomnost zranitelností také přehled připojených zařízení v lokální síti s možností zařazení podle typu a času připojení. Umožňuje tak uživateli zjistit, jaký je stav a kdo reálně využívá jeho domácí síť.

Příčin může být několik, například může být zastaralý váš internetový prohlížeč. Aktualizace často obsahují vylepšení, která urychlí plynulost prohlížeče. Proto je dobré se ujistit, že je váš prohlížeč vždy řádně aktualizovaný.

Jestliže máte nainstalované nejnovější aktualizace, můžete ještě zkusit v prohlížeči vymazat mezipaměť (cache).

Zabezpečte připojení k wi-fi síti

Pokud jste k internetu připojeni přes domácí wi-fi síť, která není zabezpečená, znamená to, že se k ní může také připojit kdokoli jiný. Při větším množství připojených uživatelů dochází ke zpomalení lokální sítě.

Heslo k wi-fi síti nastavíte jednoduše – potřebujete k tomu IP adresu routeru, kterou naleznete přímo na zařízení nebo na krabici. Adresu zadáte do internetového prohlížeče a v menu nastavení zadáte nové heslo.

Nezapomeňte na kontrolu počítače

Doporučujeme pravidelně spouštět kontrolu počítače. Když se do počítače dostane škodlivý kód, může dojít k připojování na cizí servery a tím i ke zpomalování internetového připojení.

Mnoho antivirových programů umožňuje nastavit pravidelné kontroly, vyzkoušet můžete například bezpečnostní řešení od ESETu.

Správné umístění routeru

Na plynulost internetového připojení má také vliv správné umístění routeru, ten je nejlepší umístit na vyvýšené místo, například na poličku nebo na skříň. Pokud je v bytě více pokojů a pouze jeden router, je dobré zařízení umístit ideálně tak, aby bylo od každého pokoje vzdáleno stejně.

Změna kanálu

Tento krok je určený převážně zkušenějším uživatelům. Router vysílá na různých kanálech, jestliže více lidí na jednom místě používá stejný kanál, může docházet ke zpomalování internetového připojení. Jestliže ani jeden z předchozích bodů nezabral, můžete vyzkoušet změnu kanálu a vybrat nějaký, který není tolik vytížen. Postup naleznete v návodu k zařízení.

Pokud ani to nezabere, problém pravděpodobně nebude na vaší straně. V tomto případě kontaktujte vašeho poskytovatele internetu a situaci mu vysvětlete.