Skip to main content

Інструкція користувача

Безпека маршрутизатора Keenetic

Пристрої Keenetic мають вбудований міжмережевий екран з контролем з'єднань і запобіганням атак, а також механізм трансляції мережевих адрес (NAT), увімкнений за замовчуванням. Вони обмежують вхідні з'єднання з Інтернету або інтерфейсу WAN до пристроїв домашньої мережі. Це дозволяє приховувати та захищати ваші мережеві пристрої від інших людей та загроз з Інтернету. Доступ до маршрутизатора Keenetic (його вебінтерфейсу) з Інтернету заблоковано за замовчуванням. Це зроблено для гарантування безпеки маршрутизатора, локальної мережі та захисту від несанкціонованого доступу.

Що стосується безпеки інформації у Wi-Fi мережі, бездротова мережа маршрутизатора Keenetic за замовчуванням захищена стандартом безпеки IEEE 802.11i (WPA2 AES). Неможливо підключитися до такої мережі та прочитати інформацію, що передається, без її пароля (ключа безпеки мережі).

Починаючи з версії KeeneticOS 3,1, реалізовано сучасні алгоритми безпеки (WPA3-PSK, OWE, WPA/WPA2/WPA3-Enterprise та WPA3-192 Enterprise) для забезпечення покращеного захисту бездротової Wi-Fi мережі. Детальніше дивіться у статті Бездротовий захист WPA3, OWE та WPA Enterprise.

Пристрої Keenetic також підтримують стандарт IEEE 802.11w із серії стандартів IEEE 802.11 для захищених кадрів керування (Protected Management Frames). Ця функціональність підвищує безпеку, забезпечуючи конфіденційність даних у кадрах керування.

Важливо

Із заводськими налаштуваннями маршрутизатор повністю захищений від атак і загроз ззовні і не потребує ніяких додаткових налаштувань, окрім створення складного* пароля адміністратора маршрутизатора. Архітектурно служби маршрутизатора не використовують жодних постійно відкритих портів або лазівок, які можуть використовувати хакери.

Для забезпечення безпеки маршрутизатора Keenetic рекомендуємо регулярно перевіряти наявність оновлень і своєчасно їх встановлювати. Використовуйте функцію автоматичного оновлення ОС (увімкнена за замовчуванням). Якщо на вашому пристрої встановлена актуальна версія KeeneticOS, вам не доведеться витрачати час на її оновлення.

Зберігайте вашу інформацію в безпеці — не повідомляйте пароль адміністратора вашого маршрутизатора стороннім особам.

* — Складний (надійний) пароль — це пароль, який важко вгадати, і на підбір якого методом повного перебору (brute-force) потрібно багато часу.

Під час використання нашого сервісу KeenDNS цифровий сертифікат і приватний ключ HTTPS зберігаються безпосередньо на кінцевому пристрої (маршрутизаторі). При доступі через хмарний сервер за протоколом HTTPS до маршрутизатора створюється захищений тунель, що забезпечує безпеку та конфіденційність даних, які передаються через Інтернет. Сеанс встановлюється з використанням наскрізного шифрування. Це означає, що інформація, яка передається між маршрутизатором і браузером через HTTPS, недоступна для хмарних серверів KeenDNS, які забезпечують передачу даних на транспортному рівні. При хмарному доступі через HTTP між маршрутизатором і сервером KeenDNS встановлюється захищений канал з використанням цифрового сертифіката KeenDNS, що також гарантує безпеку даних і захист від перехоплення.

Будьте обережні, використовуючи KeenDNS доменні імена 4-го рівня для віддаленого доступу до мережевих пристроїв. Деякі пристрої мають публічний вебінтерфейс, вільний для доступу без автентифікації (без пароля). Небезпечно відкривати віддалений доступ до такого пристрою за допомогою KeenDNS. Ви можете увімкнути примусову автентифікацію у KeeneticOS для віддаленого доступу до таких пристроїв через маршрутизатор.

Проте користувач може сам створити вразливість у системі безпеки (лазівку), налаштовуючи маршрутизатор. Особливо це стосується налаштування правил міжмережевого екрана, переадресації портів, віддаленого підключення до маршрутизатора, доступу до ресурсів домашньої мережі та налаштувань бездротової/гостьової Wi-Fi мережі.

Теоретично потенційний зловмисник може отримати доступ до маршрутизатора віддалено (із зовнішнього інтерфейсу WAN, такого як Інтернет або мережа Інтернет-провайдера) або локально (наприклад, з Wi-Fi мережі маршрутизатора). Користувач несе відповідальність за те, щоб пристрій не був доступний стороннім особам.

Важливо

Не використовуйте відкриту Wi-Fi мережу (без захисту) без нагальної потреби; це небезпечно, оскільки до вашої мережі зможуть вільно підключатися інші клієнти, а шифрування переданих даних у відкритих мережах відсутнє.

Якщо ви використовуєте приватну IP-адресу для доступу в Інтернет, вам не потрібно турбуватися про додатковий захист вашого маршрутизатора від інтернет-атак. З приватною IP-адресою маршрутизатор недоступний з Інтернету для прямого доступу. Крім того, за замовчуванням зовнішній доступ заборонений міжмережевим екраном і механізмом трансляції мережевих адрес (NAT). Достатньо встановити складний пароль для облікового запису адміністратора маршрутизатора (admin).

При використанні публічної IP-адреси слід застосовувати додаткові правила безпеки. У цьому випадку маршрутизатор видно в Інтернеті, і проти нього можливі різні загрози та атаки.

Важливо

Починаючи з KeeneticOS 3.4.6, цифровий сертифікат для підпису прошивки на хмарній інфраструктурі та пристроях Keenetic періодично оновлюється. Попередні цифрові сертифікати після цього відкликаються. Це робиться для підвищення безпеки оновлень KeeneticOS та сервісів Keenetic.

Додаткові Інструменти захисту:

  • Встановіть складний пароль адміністратора маршрутизатора довжиною не менше 8 символів; Генеруйте випадкові паролі; Включайте до пароля цифри та інші символи; Уникайте використання одного й того ж пароля для різних сайтів чи цілей; Перевіряйте надійність пароля облікового запису на сторінці Користувачі та доступ, яка має вбудований індикатор надійності пароля; Ви також можете перевірити надійність пароля тут; Для створення надійного пароля можна використовувати менеджер паролів;

  • Використовуйте надійний пароль для підключення до вашої Wi-Fi мережі. За замовчуванням маршрутизатор має надійний пароль, який важко вгадати і на підбір якого методом повного перебору (brute-force) йде багато часу;

  • Зареєструйте всі ваші пристрої в маршрутизаторі та встановіть профіль доступу «Без доступу до Інтернету» (щоб заборонити доступ усім незареєстрованим пристроям) або обмеження швидкості для незареєстрованих пристроїв;

  • Використовуйте один із попередньо встановлених Інтернет-фільтрів (, AdGuard DNS, Cloudflare DNS, NextDNS) для безпечного доступу до Інтернету, щоб захистити всі домашні пристрої від небезпечних сайтів, онлайн-сервісів та інших загроз;

  • Для захисту DNS-трафіку можна використовувати протоколи DNS over TLS і DNS over HTTPS, які дозволяють шифрувати DNS-запити. Підтримка цих протоколів доступна з версії KeeneticOS 3,0. Їх основне призначення — шифрувати DNS-трафік для запобігання перехопленню та забезпечення додаткової конфіденційності та безпеки. Більше інформації можна знайти в інструкціях Проксі-сервери DoH та DoT для шифрування DNS-запитів;

  • Ви можете використовувати функцію Контроль доступу до Wi-Fi, створивши Білий список. У цьому випадку маршрутизатор блокуватиме підключення для всіх клієнтів, яких немає в цьому списку;

  • Якщо вам потрібно надати тимчасовий доступ до Інтернету третім особам, використовуйте для цього гостьову Wi-Fi мережу. Це окрема мережа, що має доступ тільки до Інтернету. У той же час пристрої, підключені до гостьової мережі, будуть ізольовані від ресурсів вашої домашньої мережі для її захисту від вірусів і шкідливих програм, які, наприклад, містяться на пристроях ваших друзів;

  • Ви можете вимкнути функцію WPS Швидке налаштування, щоб підвищити рівень безпеки вашої Wi-Fi мережі;

  • Для підвищення безпеки локальної мережі ви можете скористатися нашим Keenetic мобільним застосунком, щоб надсилати сповіщення про підключення нового незареєстрованого пристрою до мережі на вашу електронну адресу, за допомогою push-сповіщень (сповіщень від застосунку Keenetic на вашому мобільному пристрої) або у вигляді сповіщення в месенджері Telegram. Для отримання додаткової інформації зверніться до посібника «Налаштування сповіщень про ввімкнення/вимкнення певного пристрою домашньої мережі»;

  • Для підключення до маршрутизатора через сторонній застосунок ми рекомендуємо створити спеціальний обліковий запис користувача, дозволивши доступ лише до потрібного сервера (наприклад, лише до USB-накопичувача SMB, сервера WebDAV або VPN-сервера). З міркувань безпеки не використовуйте обліковий запис адміністратора маршрутизатора, застосовуйте обліковий запис користувача з обмеженими правами.

  • Функція Приховати SSID вмикає режим прихованого SSID бездротової мережі. Якщо ви використовуєте її, ім'я вашої Wi-Fi мережі не відображатиметься у списку доступних бездротових мереж на пристроях користувачів (SSID не буде видно), але користувачі, які знають про існування мережі та знають її ім'я, зможуть до неї підключитися.

Також для пристроїв з публічною IP-адресою для доступу в Інтернет:

  • Не дозволяйте віддалений доступ з Інтернету до вебінтерфейсу Keenetic через HTTP і тим більше через TELNET без нагальної потреби;

  • Ми рекомендуємо змінити стандартні порти керування маршрутизатора. Наприклад, змініть порт керування через HTTP з 80 на 8080, а порт керування через TELNET з 23 на 2023; Увімкніть використання віддаленого підключення до вебінтерфейсу маршрутизатора лише за протоколом HTTPS (ця функція реалізована з версії KeeneticOS 3,1);

  • Починаючи з версії KeeneticOS 2.12, було додано сервер SSH (Secure Shell), що дозволяє безпечно підключатися до командного рядка маршрутизатора. Ми рекомендуємо використовувати з'єднання SSH замість TELNET при підключенні до пристрою з Інтернету. Змініть стандартний порт керування SSH з 22 на інший, наприклад, 2022;

  • Для віддаленого доступу до локальної мережі, включаючи мережеві пристрої (наприклад, IP-камери, мережеві медіаплеєри або USB-накопичувачі), ми рекомендуємо використовувати VPN-сервер на Keenetic (наприклад, L2TP/IPsec, WireGuard, SSTP, OpenConnect або PPTP), а не відкривати доступ за допомогою правил переадресації портів. У цьому випадку створіть окремий обліковий запис користувача для підключення до VPN і використовуйте складний пароль користувача. У посібнику «Типи VPN у маршрутизаторах Keenetic» ви знайдете короткий опис усіх типів VPN, які реалізовані в наших маршрутизаторах;

  • Якщо ви не використовуєте службу UPnP, вимкніть її. У цьому випадку ви будете впевнені, що правила NAT та міжмережевого екрана не створюватимуться автоматично. Наприклад, службу UPnP може використовувати шкідливе програмне забезпечення з локального хосту;

  • У деяких випадках може знадобитися відкрити певні порти вручну (налаштувати переадресацію портів). При переадресації портів ми рекомендуємо відкривати лише певні порти та протоколи, які потрібні для роботи сервера або мережевого пристрою, а не перенаправляти всі порти та протоколи на хост локальної мережі;

  • При використанні правил переадресації та міжмережевого екрана можна обмежити доступ, наприклад, дозволивши доступ тільки з однієї IP-адреси або певної підмережі, заборонивши всім іншим;

  • За потреби ви можете використовувати правила міжмережевого екрана, щоб блокувати доступ до вебінтерфейсу маршрутизатора для певних хостів локальної мережі, блокувати з'єднання Telnet, дозволяти доступ до Інтернету лише певним комп'ютерам локальної мережі та блокувати доступ для всіх інших тощо. Для отримання додаткової інформації див. посібник Приклади правил міжмережевого екрану;

  • Не дозволяйте ping-запити на міжмережевому екрані для всіх користувачів у зовнішній мережі (з Інтернету).

Підказка

  1. Маршрутизатори Keenetic підтримують різні типи VPN-з'єднань на всі випадки життя та для будь-якого підключення: Wireguard, IPsec, SSTP, OpenConnect, PPTP, OpenVPN, L2TP/IPsec та так званий віртуальний сервер IPSec (Xauth PSK). Ви можете знайти більше деталей у статті «Типи VPN у Keenetic».

  2. Починаючи з версії KeeneticOS 2.08, було покращено захист маршрутизатора від роботів, що підбирають паролі (захист від атаки повного перебору). Захист використовується для зовнішніх інтерфейсів пристрою за протоколами HTTP (TCP/80) та Telnet (TCP/23). За замовчуванням цей захист у маршрутизаторі ввімкнений. Якщо хтось введе неправильні облікові дані для входу в маршрутизатор 5 разів протягом 3 хвилин, його IP-адресу буде заблоковано на 15 хвилин.

  3. Починаючи з версії KeeneticOS 2.12, можна встановити параметри для відстеження спроб вторгнення шляхом пошуку паролів SSH та FTP-сервера для публічних інтерфейсів (за замовчуванням функція увімкнена).

  4. Бібліотека OpenSSL постійно оновлюється.

  5. Починаючи з версії KeeneticOS 3,1, ми додали можливість встановлювати параметри для відстеження спроб вторгнення шляхом пошуку паролів VPN-сервера PPTP (за замовчуванням ця функція увімкнена).

  6. У Keenetic всі потенційно вразливі опції WPS вимкнені (використання пін-коду вимкнено за замовчуванням, а алгоритм введення пін-коду спеціально змінений для захисту від злому). Використовується підтримка механізму WPSv2 та захист від усіх відомих вразливостей, пов'язаних з протоколом WPS (включаючи атаки Pixie Dust).

  7. У KeeneticOS покращено захист від вразливості WPA2 KRACK (вразливість протоколу WPA2, відома як атака з перевстановленням ключа KRACK).

  8. Що стосується атак на кшталт 802.11r Fast-BSS Transition (FT) CVE-2017-13082, то вони не впливають на маршрутизатори Keenetic, які підтримують стандарт IEEE 802.11r.

  9. Маршрутизатори Keenetic не вразливі до CVE-2017-7494 (WannaCry, SambaCry).

  10. Захист від атак DoS та SYN-flood міститься в ядрі Linux, що використовується операційною системою маршрутизатора.

    Атаки типу «відмова в обслуговуванні» (DoS) і «розподілена відмова в обслуговуванні» (DDoS) засновані на відкритті безлічі з'єднань з пристроєм. Атаки DDoS не відрізняються від операцій однорангової мережі з точки зору об'єкта, на який вони спрямовані. Через свої особливості атаки DDoS та захист від них малоактуальні як для пристроїв домашнього доступу, так і для сегмента SOHO. Атаки DDoS зазвичай націлені на корпоративні структури, загальнодоступні сайти, центри обробки даних тощо. Розподілені атаки типу «відмова в обслуговуванні» зазвичай ефективно вирішуються на стороні Інтернет-провайдера.

  11. Починаючи з версії KeeneticOS 3,1, реалізовано режим «Доступ по HTTPS» — заборона прямого доступу до IP-адрес і доменних імен маршрутизатора без сертифіката.

  12. Починаючи з версії KeeneticOS 3.4.1, у маршрутизаторах реалізовано блокування атак типу DNS Rebinding, і воно увімкнене за замовчуванням.

  13. У версії KeeneticOS 3.6.6 додано виправлення для вразливостей безпеки мережі Wi-Fi, відомих як FragAttacks (Fragmentation and Aggregation Attacks): CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147. Оновлення стосується всіх моделей з індексом KN.

  14. Починаючи з випуску KeeneticOS 3.7.1, для підвищення безпеки після зміни облікових даних користувача очищаються активні сеанси керування через вебінтерфейс Keenetic та мобільний застосунок.

  15. Починаючи з версії KeeneticOS 3.7.1, реалізовано захист від підбору пароля для віддаленого доступу до пристрою через доменне ім'я KeenDNS в хмарному режимі.

  16. Починаючи з версії KeeneticOS 4,3, надійність пароля облікового запису можна перевірити на сторінці Користувачі та доступ, яка має вбудований індикатор надійності пароля.

У цьому розділі: