CC BY
0УДК 004 Александров Е.А., Тарасов И.В., Уймин А.Г.
Александров Е.А.
Российский государственный университет нефти и газа
им. И.М. Губкина (г. Москва, Россия)
Тарасов И.В.
Российский государственный университет нефти и газа
им. И.М. Губкина (г. Москва, Россия)
Научный руководитель: Уймин А.Г.
Российский государственный университет нефти и газа
им. И.М. Губкина (г. Москва, Россия)
БЕЗОПАСНОСТЬ ДОМАШНЕЙ СЕТИ: КАК ЗАЩИТИТЬ СВОИ ДАННЫЕ ОТ ВНЕШНИХ УГРОЗ
Аннотация: статья посвящена технологиям и функциям роутера для обеспечения безопасности домашней сети. В теоретической части рассматриваются современные стандарты шифрования (WPA3, WPA2), технологии роутеров (NAT, OFDMA, MU-MIMO, TWT) и их влияние. Практическая часть статьи содержит пошаговую инструкцию по настройке домашнего роутера с включением необходимых и выключением небезопасных функций. Данный материал будет полезен тем, кто хочет повысить безопасность своей домашней сети, тем самым защитив свои данные от злоумышленников.
Ключевые слова: кибербезопасность, домашняя сеть, настройка роутера, уязвимости WPS, злоумышленники, защита данных, рекомендации.
Введение.
В современном мире, где технологии проникают во все сферы нашей жизни, домашняя сеть стала не просто удобством, а необходимостью. Мы используем её для работы, учёбы, развлечений, общения и даже управления бытовыми устройствами.
Умные телевизоры, камеры видеонаблюдения, ноутбуки, смартфоны, планшеты, игровые приставки, умные колонки и даже холодильники — всё это подключается к интернету, создавая сложную экосистему устройств. Однако с увеличением количества подключённых гаджетов растёт и количество потенциальных угроз.
К сожалению, многие пользователи недооценивают риски, связанные с безопасностью своей сети, считая, что злоумышленники интересуются только крупными компаниями или государственными организациями. Однако домашние сети становятся всё чаще подвержены хакерским взломам, что может привести к утечке конфиденциальной информации, краже денег с банковских счетов, шпионажу через камеры и микрофоны устройств, а также к использованию вашего интернет-соединения для незаконной деятельности.
Проблема заключается в том, что многие пользователи не имеют достаточных знаний о том, как правильно настроить свою сеть. Стандартные пароли от роутера, отсутствие шифрования, устаревшее программное обеспечение и невнимательность к подозрительным активностям — всё это делает домашние сети уязвимыми для атак.
Объект исследования — кибербезопасность, в частности защита данных в домашних сетях.
Предмет исследования — методы и технологии обеспечения безопасности домашней сети, включая настройку роутеров, использование современных стандартов шифрования и поиск уязвимостей.
Цель исследования — разработать практические рекомендации по защите домашней сети от внешних угроз, чтобы минимизировать риски утечки данных и несанкционированного доступа.
Технологии и функции роутера.
Network Address Translation (NAT) — технология, которая позволяет множеству устройств в локальной сети получать доступ к Интернету через один общий публичный IP-адрес. У маршрутизатора есть два интерфейса: один для локальной сети, а другой — для глобальной. Когда данные отправляются из локальной сети наружу, NAT меняет внутренний IP-адрес устройства на внешний (публичный) IP-адрес. Когда данные возвращаются обратно в локальную сеть, эта технология выполняет обратное преобразование, заменяя внешний IP-адрес на внутренний. Таким образом, граничный маршрутизатор работает как шлюз, соединяющий корпоративную сеть с внешним миром, например, с интернетом.
Если в пуле NAT заканчиваются доступные адреса, то есть все внешние IP-адреса уже заняты, маршрутизатор не сможет обработать новые пакеты. В таком случае пакеты будут отброшены, а отправителю будет отправлено сообщение через протокол ICMP (Internet Control Message Protocol), уведомляющее о том, что хост недоступен.
Технология повышает безопасность, скрывая внутренние устройства от интернета и защищая их от прямых атак. Он также экономит IP-адреса, позволяя многим устройствам использовать один внешний IP, что важно из-за ограниченного числа IPv4-адресов. NAT упрощает настройку сети, автоматически управляя преобразованием адресов.
Однако у этой технологии есть минусы: он может мешать приложениям, которым нужен прямой доступ к интернету (например, онлайн-игры или видеоконференции), и иногда добавляет задержки при передаче данных.
Рекомендуется включить NAT для защиты домашней сети. Отключать его стоит только в особых случаях.
Orthogonal Frequency-Division Multiple Access (OFDMA) — это технология, используемая в современных Wi-Fi стандартах (например, Wi-Fi 6 и Wi-Fi 6E), которая разделяет один канал роутера на несколько подключенных устройств одновременно. Она позволяет роутеру эффективнее распределять
доступную полосу пропускания между несколькими устройствами, одновременно передавая данные на разных частотах (поднесущих). Это особенно полезно в сетях с большим количеством подключённых устройств.
Принцип работы: вводите адрес сайта в браузере, и ваш запрос отправляется через Wi-Fi на роутер. Роутер передаёт этот запрос на удалённый сервер в интернете. Сервер обрабатывает запрос и отправляет ответ обратно на роутер, который, в свою очередь, передаёт данные на ваше устройство — компьютер, ноутбук или смартфон. В результате в браузере открывается нужная страница. Весь процесс небольшое количество времени, поэтому вы не замечаете задержек, особенно если сервер с файлами сайта находится близко.
Преимущества OFDMA:
• Обслуживание большого кол-ва устройств одновременно без потери скорости.
• Технология уменьшает время ожидания для каждого устройства.
Недостатки OFDMA:
• Не подходит для старых устройств, т.к. они не поддерживают эту технологию.
• Может вызывать проблемы совместимости с определёнными устройствами или приложениями.
Влияние на безопасность: не представляет угрозы.
Target Wake Time (TWT) — это функция, представленная в стандарте Wi-Fi 6. Она позволяет устройствам и роутеру договариваться о времени, когда устройство будет активно передавать или принимать данные. В остальное время устройство может находиться в режиме энергосбережения, что особенно полезно для IoT-устройств (например, умных лампочек, датчиков и камер).
Принцип работы:
Когда точка доступа перестаёт использоваться, она автоматически переходит в режим ожидания. Если подключённые устройства не выполняют фоновых задач, это позволяет сократить энергопотребление почти в 2 раза.
Преимущества TWT:
• Устройства с батарейным питанием (например, умные часы или датчики) работают дольше без подзарядки.
• Снижает нагрузку на роутер и улучшает общую производительность сети.
Недостаток TWT: Старые устройства не смогут использовать эту функцию.
Влияние на безопасность: TWT не влияет на шифрование данных или другие механизмы безопасности. Это исключительно функция оптимизации энергопотребления и управления сетевым трафиком. Эта функция может улучшить безопасность за счёт снижения нагрузки на сеть. Когда устройства работают в согласованном режиме, уменьшается вероятность коллизий и ошибок, которые могут быть использованы злоумышленниками. Однако, если устройство находится в спящем режиме, оно может временно не получать обновления безопасности или важные уведомления. Это потенциальный риск, но он минимален при правильной настройке.
Итог: можно включить.
Smart Connect — это функция, которая автоматически распределяет устройства между различными Wi-Fi диапазонами. Она анализирует характеристики устройства, его расположение и текущую нагрузку на сеть, чтобы выбрать оптимальный диапазон для подключения. Это упрощает настройку сети для пользователя, так как не нужно вручную выбирать диапазон для каждого устройства.
Принцип работы:
Smart Connect распределяет нагрузку между устройствами, подбирая для каждого наиболее подходящий диапазон, что снижает задержки и уменьшает вероятность разрывов сети.
Когда Smart Connect активирован, сети 2,4 ГГц и 5 ГГц используют одно имя (SSID) и пароль. Это избавляет пользователя от необходимости вручную переключаться между диапазонами, так как роутер сам выбирает лучший вариант для каждого устройства.
Преимущества Smart Connect:
• Не нужно вручную выбирать диапазон для каждого устройства.
• Улучшает скорость и стабильность соединения.
Недостатки Smart Connect:
• Некоторые старые устройства могут неправильно работать с Smart Connect, особенно если они не поддерживают оба диапазона (2.4 ГГц и 5 ГГц).
• Иногда роутер может подключить устройство к неоптимальному диапазону, скорости или стабильности соединения.
• Если устройство работает медленно, пользователю может быть сложно определить, к какому диапазону оно подключено.
Влияние на безопасность: на прямую не влияет
Итог: можно включить.
Multi-User Multiple Input Multiple Output (MU-MIMO) — это
технология, которая позволяет роутеру одновременно передавать данные нескольким устройствам вместо того, чтобы обслуживать их по очереди. Это особенно полезно в сетях с большим количеством подключённых устройств, таких как умные дома или офисы.
Принцип работы:
MU-MIMO позволяет роутеру разделять свои антенны для одновременной передачи данных нескольким устройствам. Например, если роутер имеет 4 антенны, он может одновременно передавать данные на 4 устройства. Эта технология работает только для нисходящего трафика (от роутера к устройствам). Для восходящего трафика (от устройств к роутеру) используется SU-MIMO.
Преимущества MU-MIMO:
• Роутер может одновременно обслуживать несколько устройств, что уменьшает задержки и увеличивает общую производительность сети.
• MU-MIMO особенно полезен в домах или офисах с большим количеством устройств, таких как смартфоны, ноутбуки, умные телевизоры и IoT-устройства.
• Устройства получают данные быстрее, что важно для онлайн-игр, видеозвонков и потокового вещания.
Недостатки MU-MIMO:
• Устройства должны поддерживать эту технологию. Старые устройства не смогут воспользоваться её преимуществами.
• Количество устройств, которые могут одновременно обслуживаться, зависит от количества антенн роутера. Например, роутер с 4 антеннами может обслуживать до 4 устройств одновременно.
Влияние MU-MIMO на безопасность: не влияет на шифрование данных или другие механизмы безопасности, это исключительно функция повышения производительности сети, то есть она может даже улучшить безопасность за счёт снижения нагрузки.
Итог: можно включить.
Wi-Fi Protected Access (WPA) — это стандарт безопасности, который обеспечивает защиту беспроводных сетей от несанкционированного доступа. Он применяет протокол TKIP (Temporal Key Integrity Protocol), который регулярно меняет ключи шифрования. Это делает процесс взлома сложнее, так как злоумышленники не могут создать подходящий ключ, даже если перехватят часть данных. TKIP динамически обновляет ключи, что повышает уровень защиты сети. WPA2 (Wi-Fi Protected Access II) — это усовершенствованная версия WPA, которая обеспечивает более высокий уровень безопасности. Она использует улучшенные алгоритмы шифрования, что делает её более надёжной по сравнению с WPA. WPA3 (Wi-Fi Protected Access III) — это новейший стандарт безопасности, который предлагает ещё более продвинутые методы защиты. Он включает в себя улучшенные алгоритмы шифрования, аутентификации и управления ключами, что делает его наиболее безопасным из трёх стандартов.
WPA2-PSK[AES]: WPA2 с шифрованием AES. Использует общий пароль (PSK). Высокая безопасность. Подходит для большинства домашних сетей. Широко поддерживается. Выбирайте, если WPA3 недоступен.
WPA2-PSKrAES1+WPA-PSK|TKIP1: Смешанный режим. Поддерживает WPA2 с AES и WPA с TKIP. Безопасность ниже из-за устаревшего TKIP. Используйте только для совместимости со старыми устройствами.
WPA3-Personal: Очень высокая безопасность. Лучше WPA2, включает Forward Secrecy. Подходит для современных сетей. Лучший выбор, если оборудование поддерживает.
WPA3-Personal+WPA2-PSK[AES]: Смешанный режим. Поддерживает WPA3 и WPA2 с AES. Безопасность ниже, чем у чистого WPA3. Используйте, если есть устройства без поддержки WPA3.
WPA2-Enterprise: WPA2 с уникальными учётными данными для каждого пользователя. Высокая безопасность. Для корпоративных сетей. Не для дома.
WPA/WPA2-Enterprise: Смешанный режим. Поддерживает WPA и WPA2. Безопасность ниже, чем у WPA2-Enterprise. Для корпоративных сетей. Не для дома.
Wi-Fi Protected Setup (WPS) — это функция, предназначенная для упрощения подключения устройств к Wi-Fi сети.
Принцип работы:
• I вариант. Нажмите кнопку WPS на роутере. На устройстве (например, на смартфоне или принтере) активируйте поиск сети с поддержкой WPS. Устройство автоматически подключается к сети без ввода пароля.
• II вариант. Введите 8-значный PIN-код, указанный на роутере, в настройках устройства. Устройство подключается к сети.
Преимущество WPS: прост в использовании.
Недостатки WPS:
• 8-значный PIN-код не надежен, вариант без него — тем более.
• не использует современные методы шифрования, такие как WPA3.
• устаревшая технология.
Потенциальные угрозы:
• WPS создаёт уязвимость в сети, так как злоумышленник может взломать PIN-код и получить доступ к вашей сети.
• Если WPS включён, даже при использовании WPA3 или WPA2, сеть становится менее защищённой.
Итог: лучшим решением будет отключить WPS.
Universal Plug and Play (UPnP) — это технология, которая позволяет устройствам в сети автоматически находить друг друга и настраивать соединения без участия пользователя. Она часто используется для упрощения подключения игровых консолей, принтеров, медиа-серверов и других устройств.
UPnP небезопасен:
Он может создавать уязвимости, так как автоматически открывает порты для устройств, что может быть использовано злоумышленниками для доступа к вашей сети. Некоторые устройства могут неправильно использовать UPnP, что может привести к утечке данных.
Итог: выключить.
Demilitarized Zone (DMZ) — это функция, которая позволяет выделить одно устройство в сети и полностью открыть его для доступа из интернета. Это устройство становится "демилитаризованной зоной" и находится вне защиты брандмауэра роутера.
DMZ небезопасен:
Устройство в DMZ полностью открыто для доступа из интернета, что делает его уязвимым для хакерских атак. Если устройство в DMZ будет скомпрометировано, злоумышленник может получить доступ к вашей внутренней сети.
Итог: выключить.
SPI Firewall (Stateful Packet Inspection Firewall) — это тип
брандмауэра, который анализирует входящий и исходящий сетевой трафик на основе состояния соединений. Он отслеживает активные соединения и блокирует подозрительный трафик, который не соответствует ожидаемым шаблонам. Это одна из ключевых функций, которую следует включить для обеспечения безопасности домашней сети.
Итог: включить. Пошаговое руководство.
1. Находим Ш-адрес роутера.
Обычно Ш-адрес роутера указан на наклейке на самом устройстве (например, 192.168.1.1 или 192.168.0.1). В моем случае http://tplinkwifi.net.
2. Входим в веб-интерфейс роутера.
Открываем браузер и вводим Ш-адрес роутера в адресной строке (например, 192.168.1.1), вводим логин и пароль.
Рисунок 1.
3. Первым делом необходимо обновить ПО роутера. Для этого нужно перейти по пути Advanced> System> Firmware Update и нажать CHECK FOR
UPDATES, чтобы проверить наличие новых обновлений. Вы так же можете поставить авто-обновление, как это сделано на скриншоте.
Рисунок 2.
4. Далее после каждого изменения необходимо нажимать кнопку SAVE, чтобы сохранить настройки.
Переходим по пути Network> Internet и включаем NAT:
5. Переходим по пути Wireless> Wireless Settings и включаем OFDMA, MU-MIMO, выбираем в Security тип WPA3-Personal и скрываем свои сети, чтобы их не так легко было обнаружить (людям, которым вы захотите предоставить доступ, необходимо будет, помимо пароля, имя сети).
I
<•> Quck Setup Network TP-Link ID Wireless
• VMretess Settings
Guest MstvKort Weess Schedufe ЙРЗ
AUdWonal bettnas USB
NAT Fcrwarcing HomeShied Security VPN CDent VPN Server JPv6
Smsrt Life Assistant EasvMesh System
Рисунок 4.
6. Переходим по пути Wireless> Guest Network. Создаем гостевые сети (выбрав пункты Enable для 2.4GHz и 5GHz), скрываем их (выбрав пункты Hide SSID для 2.4GHz и 5GHz), выбираем в Security тип WPA2/WPA3-Personal.
Рисунок 5.
7. Переходим по пути Wireless> WPS и выключаем WPS (нажав на ползунок рядом).
8. Переходим по пути NAT Forwarding> UPnP и выключаем UPnP (нажав на ползунок рядом).
Рисунок 7.
Переходим по пути NAT Forwarding> DMZ и выключаем DMZ (нажав на ползунок рядом).
9. Переходим по пути NAT Forwarding> Firewall и включаем SPI Firewall (нажав на ползунок рядом), Respond to Pings from LAN (нажав на ползунок рядом) (чтобы иметь возможность диагностировать сеть или использовать ping для мониторинга) и выключаем Respond to Pings from WAN (нажав на ползунок рядом) (минимизирует риск обнаружения роутера из интернета).
I
0 Quick Selup Networii ГР-Llnk ID VMreless USB
WAT Forwsf dirg HomeShield Security • Firewal
Access Cenlroi
IP & MAC BrdiriG
AUS VPN CNcnt VPN Server P*6
smart UTe Assistant EssyMesh System
Рисунок 9.
Заключение.
Безопасность домашней сети — это не разовое действие, а постоянный процесс. Следуя рекомендациям, изложенным в статье, вы сможете создать надёжную и защищённую сеть, которая обеспечит безопасность ваших данных и устройств. Помните, что безопасность начинается с малого: с правильной настройки роутера и осознанного подхода к использованию технологий.
В рамках работы были рассмотрены основные уязвимости домашних сетей, такие как слабые пароли, устаревшее оборудование, неправильная настройка роутера и использование небезопасных технологий. Также были изучены современные стандарты шифрования, функции роутеров и их влияние
на безопасность сети. Правильная настройка и использование современных технологий значительно повышают уровень защиты домашней сети.
Безопасность домашней сети может быть существенно улучшена за счёт:
• Использования современных стандартов шифрования, таких как
WPA3.
• Регулярного обновления прошивки роутера и устройств.
• Отключения устаревших и небезопасных функций, таких как WPS.
• Применения сложных паролей и двухфакторной аутентификации.
В качестве направлений для дальнейшего исследования можно выделить:
1. Изучение новых угроз, связанных с развитием 1оТ-устройств и их интеграцией в домашние сети.
2. Разработку рекомендаций по защите данных для пользователей с минимальными техническими знаниями.
3. Анализ эффективности новых технологий, таких как квантовое шифрование, для обеспечения безопасности домашних сетей.
Таким образом, проведённое исследование подчеркивает важность осведомлённости пользователей о современных методах защиты и необходимость дальнейшего изучения вопросов кибербезопасности в условиях rapidly evolving технологий.
Будьте внимательны, регулярно обновляйте оборудование и не пренебрегайте базовыми правилами безопасности. Ваша сеть — это ваша крепость, и только вы можете сделать её неприступной.
СПИСОК ЛИТЕРАТУРЫ:
1. От частного к общему: разбираемся в принципах работы Network Address Translation (NAT) / Хабр: https://habr.com/ru/companies/otus/articles/779970/;
2. Технологии WEP, WPA, WPA2 и WPA3: что это и в чем их различия? -kaspersky.ru: https://w.kaspersky.ru/resource-center/definitions/wep-vs-wpa;
3. Что такое DL OFDMA в Роутере с WiFi 6 (802.11 AX, MU-MIMO) — Простыми Словами - wifika.ru: https://wifika.ru/ofdma-router.html;
4. Что такое DMZ и как его включить в роутере - help-wifi.ru: https://help-wifi.ru/tekh-podderzhka/dmz-chto-ehto/;
5. Что такое MU-MIMO? -cisco.com: https://w.cisco.com/c/en/us/products/wireless/what-is-mu-mimo.html;
6. Что такое Smart Connect и как её использовать? - tp-link.com: https://w.tp-link.com/ru/support/faq/2595/;
7. Что такое UpnP - help-wifi.ru: https://help-wifi.ru/tekh-podderzhka/upnp/;
8. Что такое WPS на Wi-Fi роутере? Как пользоваться функцией WPS? -help-wifi.com: https://help-wifi.com/sovety-po-nastrojke/chto-takoe-wps-na-wi-fi-routere-kak-polzovatsya-funkciej-wps/;
9. Wi-Fi 6 что это? Какие сервисы подключать? Сценарии использования (часть 1) / Хабр: https://habr.com/ru/articles/552596/
AleksandrovE.A., TarasovI.V., UiminA.G.
Aleksandrov E.A.
Russian State University of Oil and Gas named after I.M. Gubkin (Moscow, Russia)
Tarasov I.V.
Russian State University of Oil and Gas named after I.M. Gubkin (Moscow, Russia)
Scientific advisor: Uimin A.G.
Russian State University of Oil and Gas named after I.M. Gubkin (Moscow, Russia)
HOME NETWORK SECURITY:
HOW TO PROTECT YOUR DATA FROM EXTERNAL THREATS
Abstract: the article is devoted to the technologies and functions of the router for ensuring the security of the home network. The theoretical part covers modern encryption standards (WPA3, WPA2), router technologies (NAT, OFDMA, MU-MIMO, TWT) and their impact. The practical part of the article contains step-by-step instructions on setting up a home router with the necessary functions enabled and unsafe functions disabled. This material will be useful for those who want to increase the security of their home network, thereby protecting their data from intruders.
Keywords: cybersecurity, home network, router setup, WPS vulnerabilities, intruders, data protection, security recommendations.
