...

Как повысить безопасность вашего Wi-Fi-роутера

Как защитить сеть Wi-Fi паролем?

Что в наше время может быть важнее, чем защита своей домашней Wi-Fi сети 🙂 Это очень популярная тема, на которую уже только на этом сайте написана не одна статья. Я решил собрать всю необходимую информацию по этой теме на одной странице. Сейчас мы подробно разберемся в вопросе защиты Wi-Fi сети. Расскажу и покажу, как защитить Wi-Fi паролем, как правильно это сделать на роутерах разных производителей, какой метод шифрования выбрать, как подобрать пароль, и что нужно знать, если вы задумали сменить пароль беспроводной сети.

В этой статье мы поговорим именно о защите домашней беспроводной сети. И о защите только паролем. Если рассматривать безопасность каких-то крупных сетей в офисах, то там к безопасности лучше подходить немного иначе (как минимум, другой режим аутентификации) . Если вы думаете, что одного пароля мало для защиты Wi-Fi сети, то я бы советовал вам не заморачиваться. Установите хороший, сложный пароль по этой инструкции, и не беспокойтесь. Вряд ли кто-то будет тратить время и силы, что бы взломать вашу сеть. Да, можно еще например скрыть имя сети (SSID), и установить фильтрацию по MAC-адресам, но это лишние заморочки, которые в реальности будут только приносить неудобства при подключении и использовании беспроводной сети.

Если вы думаете о том, защищать свой Wi-Fi, или оставить сеть открытой, то решение здесь может быть только одним – защищать. Да, интернет безлимитный, да практически у все дома установлен свой роутер, но к вашей сети со временем все ровно кто-то подключится. А для чего нам это, ведь лишние клиенты, это лишняя нагрузка на роутер. И если он у вас не дорогой, то этой нагрузки он просто не выдержит. А еще, если кто-то подключится к вашей сети, то он сможет получить доступ к вашим файлам (если настроена локальная сеть) , и доступ к настройкам вашего роутера (ведь стандартный пароль admin, который защищает панель управления, вы скорее всего не сменили) .

Обязательно защищайте свою Wi-Fi сеть хорошим паролем с правильным (современным) методом шифрования. Устанавливать защиту я советую сразу при настройке маршрутизатора. А еще, не плохо бы время от времени менять пароль.

Если вы переживаете, что вашу сеть кто-то взломает, или уже это сделал, то просто смените пароль, и живите спокойно. Кстати, так как вы все ровно будете заходит в панель управления своего роутера, я бы еще советовал сменить пароль admin, который используется для входа в настройки маршрутизатора.

Правильная защита домашней Wi-Fi сети: какой метод шифрования выбрать?

В процессе установки пароля, вам нужно будет выбрать метод шифрования Wi-Fi сети (метод проверки подлинности) . Я рекомендую устанавливать только WPA2 — Personal, с шифрованием по алгоритму AES. Для домашней сети, это лучшее решения, на данный момент самое новое и надежное. Именно такую защиту рекомендуют устанавливать производители маршрутизаторов.

Только при одном условии, что у вас нет старых устройств, которые вы захотите подключить к Wi-Fi. Если после настройки у вас какие-то старые устройства откажутся подключатся к беспроводной сети, то можно установить протокол WPA (с алгоритмом шифрования TKIP) . Не советую устанавливать протокол WEP, так как он уже устаревший, не безопасный и его легко можно взломать. Да и могут появится проблемы с подключением новых устройств.

Сочетание протокола WPA2 — Personal с шифрованием по алгоритму AES, это оптимальный вариант для домашней сети. Сам ключ (пароль) , должен быть минимум 8 символов. Пароль должен состоять из английских букв, цифр и символов. Пароль чувствителен к регистру букв. То есть, «111AA111» и «111aa111» – это разные пароли.

Я не знаю, какой у вас роутер, поэтому, подготовлю небольшие инструкции для самых популярных производителей.

Если после смены, или установки пароля у вас появились проблемы с подключением устройств к беспроводной сети, то смотрите рекомендации в конце этой статьи.

Советую сразу записать пароль, который вы будете устанавливать. Если вы его забудете, то придется устанавливать новый, или смотреть старый пароль в настройках роутера, или на компьютере.

Защищаем Wi-Fi паролем на роутерах Tp-Link

Подключаемся к роутеру (по кабелю, или по Wi-Fi) , запускаем любой браузер и открываем адрес 192.168.1.1, или 192.168.0.1 (адрес для вашего роутера, а так же стандартные имя пользователя и пароль указаны на наклейке снизу самого устройства) . Укажите имя пользователя и пароль. По умолчанию, это admin и admin. В этой статье, я подробнее описывал вход в настройки.

В настройках перейдите на вкладку Wireless (Беспроводной режим) — Wireless Security (Защита беспроводного режима). Установите метку возле метода защиты WPA/WPA2 — Personal(Recommended). В выпадающем меню Version (версия) выберите WPA2-PSK. В меню Encryption (шифрование) установите AES. В поле Wireless Password (Пароль PSK) укажите пароль, для защиты своей сети.

Фото: защита Wi-Fi паролем на роутере Tp-Link

Для сохранения настроек нажмите на кнопку Save внизу страницы, и перезагрузите роутер. Возможно, вам еще пригодится подробная инструкция по смене пароля на роутере Tp-link TL-WR841N.

Установка пароля на роутерах Asus

Нам точно так же нужно подключится к роутеру, открыть настройки по адресу 192.168.1.1, указать имя пользователя и пароль. Если что, вот подробная инструкция: https://help-wifi.com/asus/vxod-v-nastrojki-na-routerax-asus-192-168-1-1/

В настройках нам нужно открыть вкладку Беспроводная сеть, и выполнить такие настройки:

  • В выпадающем меню «Метод проверки подлинности» выбираем WPA2 — Personal.
  • «Шифрование WPA» — устанавливаем AES.
  • В поле «Предварительный ключ WPA» записываем пароль для нашей сети.

Для сохранения настроек нажмите на кнопку Применить.

Установка пароля для защиты Wi-Fi на роутерах Asus

Подключите свои устройства к сети уже с новым паролем.

Защищаем беспроводную сеть роутера D-Link

Зайдите в настройки своего роутера D-Link по адресу 192.168.0.1. Можете смотреть подробную инструкцию по этой ссылке. В настройках откройте вкладку Wi-FiНастройки безопасности. Установите тип безопасности и пароль, как на скриншоте ниже.

Установка пароля Wi-Fi сети на D-Link

Не забудьте сохранить настройки и перезагрузить маршрутизатор. Можете посмотреть более подробную инструкцию по установке пароля на D-Link.

Установка пароля на других маршрутизаторах

У нас есть еще подробные инструкции для роутеров ZyXEL и Tenda. Смотрите по ссылкам:

  • Как сменить, или поставить пароль на роутере ZyXEL?
  • Меняем пароль на роутере Tenda. Смена пароля на Wi-Fi сеть и доступ к настройкам

Если вы не нашли инструкции для своего роутера, то настроить защиту Wi-Fi сети вы сможете в панели управления своим маршрутизатором, в разделе настроек, который называется: настройки безопасности, беспроводная сеть, Wi-Fi, Wireless и т. д. Найти я думаю будет не сложно. А какие настройки устанавливать, я думаю вы уже знаете: WPA2 — Personal и шифрование AES. Ну и ключ.

Если не сможете разобраться, спрашивайте в комментариях.

Что делать, если устройства не подключаются после установки, смены пароля?

Очень часто, после установки, а особенно смены пароля, устройства которые раньше были подключены к вашей сети, не хотят к ней подключатся. На компьютерах, это как правило ошибки «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети» и «Windows не удалось подключится к…». На планшетах, и смартфонах (Android, iOS) так же могут появляться ошибки типа «Не удалось подключится к сети», «Подключено, защищено» и т. д.

Решаются эти проблемы простым удалением беспроводной сети, и повторным подключением, уже с новым паролем. Как удалить сеть в Windows 7, я писал здесь. Если у вас Windows 10, то нужно «забыть сеть» по этой инструкции. На мобильных устройствах нажмите на свою сеть, подержите, и выберите «Удалить».

Если проблемы с подключением наблюдаются на старых устройствах, то установите в настройках роутера протокол защиты WPA, и шифрование TKIP.

27

258708

Сергей

Настройка защиты Wi-Fi сетей

Полная анонимность: защищаем домашний роутер

Как заходить в сеть через DNS, как настроить постоянно зашифрованное соединение с интернетом, как защитить домашний роутер – и еще несколько полезных советов вы найдете в нашей статье.

Для предотвращения отслеживания вашей личности по конфигурации маршрутизатора необходимо отключить по максимуму веб-сервисы вашего устройства и изменить стандартный идентификатор SSID. Как это сделать, мы покажем на примере Zyxel. С другими роутерами принцип действия аналогичен.

Откройте в браузере страницу конфигурации вашего маршрутизатора. Пользователям роутеров Zyxel для этого нужно ввести «my.keenetic.net» в адресную строку.

Теперь следует включить отображение дополнительных функций. Для этого нажмите на три точки в правом верхнем углу веб-интерфейса и щелкните по переключателю для опции «Advanced View».

Зайдите в меню «Wireless | Radio Network» и в разделе «Radio Network» введите новое название вашей сети. Наряду с именем для частоты 2,4 ГГц не забудьте изменить и название для частоты 5 ГГц. В качестве SSID укажите любую последовательность символов.

Затем перейдите в меню «Internet | Permit Access». Снимите флажок перед опциями «Internet access via HTTPS enabled» и «Internet access to your storage media via FTP/FTPS enabled». Подтвердите произведенные изменения.

Построение DNS-защиты

В первую очередь измените SSID своего роутера
(1). Затем в настройках DNS укажите сервер Quad9
(2). Теперь все подключенные клиенты в безопасности

На вашем маршрутизаторе также должен использоваться альтернативный DNS-сервер, например Quad9. Преимущество: если этот сервис настроен непосредственно на роутере, все подключенные к нему клиенты автоматически будут заходить в Интернет через данный сервер. Мы поясним конфигурацию опять-таки на примере Zyxel.

Описанным в предыдущем разделе образом разделе «Изменение имени роутера и идентификатора SSID» образом зайдите на страницу конфигурации Zyxel и перейдите в раздел «Сеть Wi-Fi» на вкладку «Точка доступа». Здесь поставьте галочку в чекпойнте «Скрыть SSID».

Перейдите на вкладку «Серверы DNS» и задействуйте опцию «Адрес сервера DNS». В строке параметра введите IP-адрес «9.9.9.9».

Настройка постоянного перенаправления через VPN

Еще больше анонимности вы добьетесь с помощью постоянного соединения по VPN. В этом случае вам не придется больше беспокоиться об организации такого подключения на каждом отдельном устройстве — каждый клиент, соединенный с роутером, автоматически будет заходить в Сеть через защищенное VPN-подключение. Однако для этой цели вам понадобится альтернативная прошивка DD-WRT, которую необходимо установить на роутер вместо прошивки от производителя. Это ПО совместимо с большинством роутеров.

Например, на маршрутизаторе премиум-класса Netgear Nighthawk X10 имеется поддержка DD-WRT. Впрочем, вы можете использовать в качестве точки доступа к Wi-Fi и недорогой роутер, например TP-Link TL-WR940N. После выбора маршрутизатора следует решить, какую VPN-службу вы предпочтете. В нашем случае мы остановились на бесплатной версии ProtonVPN.

Установка альтернативной прошивки

После установки DD-WRT измените DNS-сервер устройства прежде чем настраивать подключение по VPN.

Мы поясним установку на примере роутера Netgear, однако для других моделей процесс аналогичен. Скачайте прошивку DD-WRT и установите ее с помощью функции обновления. После перезагрузки вы окажетесь в интерфейсе DD-WRT. Вы можете перевести программу на русский язык, выбрав в меню «Administration | Management | Language» вариант «Russian».

Перейдите к пункту «Setup | Basic setup» и для параметра «Static DNS 1» пропишите значение «9.9.9.9».

Также поставьте флажки перед следующими опциями «Use DNSMasq for DHCP», «Use DNSMasq for DNS» и «DHCP-Authoritative». Сохраните изменения щелчком по кнопке «Save».

В разделе «Setup | IPV6» отключите «IPV6 Support». Тем самым вы предотвратите деанонимизацию через утечки IPV6.

Совместимые устройства можно найти в любой ценовой категории, например TP-Link TL-WR940N (около 1300 руб.)
или Netgear R9000 (около 28 000 руб.)

Конфигурация виртуальной частной сети (VPN)

Запустите OpenVPN Client (1) в DD-WRT. После ввода данных доступа в меню «Status» можно проверить, построен ли туннель для защиты данных (2)

Собственно для настройки VPN вам необходимо изменить параметры ProtonVPN. Конфигурация нетривиальна, поэтому строго следуйте указаниям. После того как вы зарегистрируетесь на сайте ProtonVPN, в настройках аккаунта скачайте файл Ovpn с узлами, которые вы хотите использовать. Этот файл содержит всю необходимую информацию для доступа. В случае с другими поставщиками услуг вы найдете эти сведения в другом месте, однако чаще всего в своем аккаунте.

Откройте файл Ovpn в текстовом редакторе. Затем на странице конфигурации роутера нажмите на «Services | VPN» и на этой вкладке переключателем активируйте опцию «OpenVPN Client». Для доступных опций внесите информацию из файла Ovpn. Для бесплатного сервера в Голландии, к примеру, используйте в строчке «Server IP/Name» значение «nlfree-02.protonvpn.com», а в качестве порта укажите «1194».

«Tunnel Device» установите на «TUN», а «Encryption Cipher» – на «AES-256 CBC».
Для «Hash Algorithm» задайте «SHA512», включите «User Pass Authentication» и в полях «User» и «Password» укажите свои данные для входа в Proton.

Теперь пришло время заняться разделом «Advanced Options». «TLS Cypher» переведите в положение «None», «LZO Compression» — на «Yes». Активируйте «NAT» и «Firewall Protection» и в качестве «Tunnel MTU settings» укажите число «1500». «TCP-MSS» необходимо выключить.
В поле «TLS Auth Key» скопируйте значения из файла Ovpn, которые вы найдете под строчкой «BEGIN OpenVPN Static key V1».

В поле «Additional Configuration» введите строчки, которые вы найдете под «Server Name».
В завершение для «CA Cert» вставьте текст, который вы видите в строчке «BEGIN Certificate». Сохраните настройки нажатием на кнопку «Save» и запустите установку нажатием на «Apply Settings». После перезагрузки ваш роутер будет связан с VPN. Для надежности проверьте соединение через «Status | OpenVPN».

С помощью пары несложных приемов вы сможете превратить свой домашний маршрутизатор в безопасный узел. Прежде чем приступать к настройке, следует изменить стандартную конфигурацию устройства.

Изменение SSID Не оставляйте название роутера по умолчанию. По нему злоумышленники могут сделать выводы о вашем устройстве и провести целенаправленную атаку на соответствующие уязвимости.

DNS-защита Установите DNS-сервер Quad9 в качестве стандартного на странице конфигурации. После этого все подключенные клиенты будут заходить в Сеть через безопасный DNS. Это также избавляет вас от ручной настройки устройств.

Использование VPN Через альтернативную прошивку DD-WRT, доступную для большинства моделей маршрутизаторов, вы сможете построить VPN-соединение для всех клиентов, связанных с этим устройством. Необходимость конфигурировать клиенты по отдельности отпадает. Вся информация поступает в Сеть в зашифрованном виде. Веб-службы больше не смогут вычислить ваши реальные IP-адрес и местоположение.

При выполнении всех рекомендаций, изложенных в этой статье, даже специалисты в области защиты данных не смогут придраться к вашим конфигурациям, поскольку вы добьетесь максимальной анонимности(на сколько это возможно).

Спасибо за прочтение моей статьи, больше мануалов, статей про кибербезопасность, теневой интернет и многое другое вы сможете найти на нашем [Telegram канале](https://t.me/dark3idercartel).

Всем спасибо кто прочитал мою статью и ознакомился с ней.Надеюсь вам понравилось и вы отпишите в комментариях, что думаете по этому поводу?

Wi-Fi становится безопаснее: всё, что вам нужно знать про WPA3

Недавно Wi-Fi Alliance обнародовал крупнейшее обновление безопасности Wi-Fi за последние 14 лет. Протокол безопасности Wi-Fi Protected Access 3 (WPA3) вводит очень нужные обновления в протокол WPA2, представленный в 2004 году. Вместо того, чтобы полностью переработать безопасность Wi-Fi, WPA3 концентрируется на новых технологиях, которые должны закрыть щели, начавшие появляться в WPA2.

Wi-Fi Alliance также объявил о двух дополнительных, отдельных протоколах сертификации, вводящихся в строй параллельно WPA3. Протоколы Enhanced Open и Easy Connect не зависят от WPA3, но улучшают безопасность для определённых типов сетей и ситуаций.

Все протоколы доступны для внедрения производителями в их устройства. Если WPA2 можно считать показателем, то эти протоколы в конечном итоге будут приняты повсеместно, но Wi-Fi Alliance не даёт никакого графика, по которому это должно будет происходить. Скорее всего, с внедрением новых устройств на рынок мы в итоге достигнем этапа, после которого WPA3, Enhanced Open и Easy Connect станут новыми опорами безопасности.

Что же делают все эти новые протоколы? Деталей много, и поскольку большинство из них связано с беспроводным шифрованием, встречается и сложная математика – но вот примерное описание четырёх основных изменений, которые они принесут с собой в дело беспроводной безопасности.

Одновременная аутентификация равных [Simultaneous Authentication of Equals, SAE]

Самое крупное изменение, которое принесёт WPA3. Самый главный момент в защите сети наступает, когда новое устройство пытается установить соединение. Враг должен оставаться за воротами, поэтому WPA2 и WPA3 уделяют много внимания аутентификации новых соединений и гарантии того, что они не будут являться попытками хакера получить доступ.

SAE – новый метод аутентификации устройства, пытающегося подключиться к сети. SAE – это вариант т.н. dragonfly handshake [установления связи по методу стрекозы], использующего криптографию для предотвращения угадывания пароля злоумышленником. Он говорит о том, как именно новое устройство, или пользователь, должен «приветствовать» сетевой маршрутизатор при обмене криптографическими ключами.

SAE идёт на замену методу Pre-Shared Key (PSK) [предварительно розданного ключа], используемого с момента презентации WPA2 в 2004-м. PSK также известен, как четырёхэтапное установление связи, поскольку столько именно сообщений, или двусторонних «рукопожатий», необходимо передать между маршрутизатором и подсоединяющимся устройством, чтобы подтвердить, что они договорились по поводу пароля, при том, что ни одна из сторон не сообщает его другой. До 2016 года PSK казался безопасным, а потом была открыта атака с переустановкой ключа (Key Reinstallation Attacks, KRACK).

KRACK прерывает серию рукопожатий, притворяясь, что соединение с маршрутизатором временно прервалось. На самом деле он использует повторяющиеся возможности соединения для анализа рукопожатий, пока не сможет догадаться о том, какой был пароль. SAE блокирует возможность такой атаки, а также наиболее распространённые офлайновые атаки по словарю, когда компьютер перебирает миллионы паролей, чтобы определить, какой из них подходит к информации, полученной во время PSK-соединений.

Как следует из названия, SAE работает на основании предположения о равноправности устройств, вместо того, чтобы считать одно устройство отправляющим запросы, а второе – устанавливающим право на подключение (традиционно это были устройство, пытающееся соединиться, и маршрутизатор, соответственно). Любая из сторон может отправить запрос на соединение, и потом они начинают независимо отправлять удостоверяющую их информацию, вместо того, чтобы обмениваться сообщениями по очереди, туда-сюда. А без такого обмена у атаки KRACK не будет возможности «вставить ногу между дверью и косяком», и атаки по словарю станут бесполезными.

SAE предлагает дополнительное усиление безопасности, которого не было в PSK: прямую секретность [forward secrecy]. Допустим, атакующий получает доступ к зашифрованным данным, которые маршрутизатор отправляет и получает из интернета. Раньше атакующий мог сохранить эти данные, а потом, в случае успешного подбора пароля, расшифровать их. С использованием SAE при каждом новом соединении устанавливается новый шифрующий пароль, поэтому даже если атакующий в какой-то момент и проникнет в сеть, он сможет украсть только пароль от данных, переданных после этого момента.

SAE описан в стандарте IEEE 802.11-2016, занимающем более 3500 страниц.

192-битные протоколы безопасности

WPA3-Enterprise, версия WPA3, предназначенная для работы в правительственных и финансовых учреждениях, а также в корпоративной среде, обладает шифрованием в 192 бита. Такой уровень шифрования для домашнего маршрутизатора будет избыточным, но его имеет смысл использовать в сетях, работающих с особо чувствительной информацией.

Сейчас Wi-Fi работает с безопасностью в 128 бит. Безопасность в 192 бита не будет обязательной к использованию – это будет вариант настроек для тех организаций, сетям которых она будет нужна. Wi-Fi Alliance также подчёркивает, что в промышленных сетях необходимо усиливать безопасность по всем фронтам: стойкость системы определяется стойкостью самого слабого звена.

Чтобы гарантировать подобающий уровень безопасности всей сети, от начала до конца, WPA3-Enterprise будет использовать 256-битный протокол Galois/Counter Mode для шифрования, 384-битный Hashed Message Authentication Mode режим для создания и подтверждения ключей, и алгоритмы Elliptic Curve Diffie-Hellman exchange, Elliptic Curve Digital Signature Algorithm для аутентификации ключей. В них много сложной математики, но плюс в том, что на каждом шагу будет поддерживаться шифрование в 192 бита.

Easy Connect

Easy Connect – это признание наличия в мире огромного количества устройств, присоединённых к сети. И хотя, возможно, не все люди захотят обзавестись умными домами, у среднего человека к домашнему маршрутизатору сегодня, скорее всего, подключено больше устройств, чем в 2004 году. Easy Connect – попытка Wi-Fi альянса сделать подсоединение всех этих устройств более интуитивным.

Вместо того, чтобы каждый раз при добавлении устройства вводить пароль, у устройств будут уникальные QR-коды – и каждый код устройства будет работать как публичный ключ. Для добавления устройства можно будет просканировать код при помощи смартфона, уже соединённого с сетью.

После сканирования устройство обменяется с сетью ключами аутентификации для установления последующей связи. Протокол Easy Connect не связан с WPA3 – устройства, сертифицированные для него, должны иметь сертификат для WPA2, но не обязательно сертификат для WPA3.

Enhanced Open

Enhanced Open – ещё один отдельный протокол, разработанный для защиты пользователя в открытой сети. Открытые сети – такие, которыми вы пользуетесь в кафе или аэропорту – несут в себе целый комплекс проблем, которые обычно не касаются вас, когда вы устанавливаете соединение дома или на работе.

Многие атаки, происходящие в открытой сети, относятся к пассивным. Когда к сети подключается куча людей, атакующий может собрать очень много данных, просто фильтруя проходящую мимо информацию.

Enhanced Open использует оппортунистическое беспроводное шифрование (Opportunistic Wireless Encryption, OWE), определённое в стандарте Internet Engineering Task Force RFC 8110, чтобы защищаться от пассивного подслушивания. Для OWE не требуется дополнительная защита с аутентификацией – оно концентрируется на улучшении шифрования данных, передаваемых по публичным сетям, с целью предотвратить их кражу. Оно также предотвращает т.н. простую инъекцию пакетов [unsophisticated packet injection], в которой атакующий пытается нарушить работу сети, создавая и передавая особые пакеты данных, выглядящие, как часть нормальной работы сети.

Enhanced Open не даёт защиты с аутентификацией из-за особенностей организации открытых сетей – они по определению предназначены для всеобщего использования. Enhanced Open был разработан для улучшения защиты открытых сетей против пассивных атак, так, чтобы не требовать от пользователей ввода дополнительных паролей или прохождения дополнительных шагов.

Пройдёт, по меньшей мере, несколько лет, до того, как WPA3, Easy Connect и Enhanced Open станут нормой. Широкое распространение WPA3 произойдёт только после замены или обновления маршрутизаторов. Однако если вас беспокоит безопасность вашей личной сети, вы сможете заменить свой текущий маршрутизатор на другой, поддерживающий WPA3, как только производители начнут продавать их, что может произойти уже через несколько месяцев.

При подготовке материала использовались источники:
https://help-wifi.com/nastrojka-zashhity-wi-fi-setej/kak-zashhitit-set-wi-fi-parolem/
https://habr.com/ru/articles/465111/
https://habr.com/ru/articles/424925/

Оцените статью
© 2025 Проверка скорости интернета. Все права защищены. Мы не имеем никакого отношения к сервису speedtest.net. Мы отдельный и самостоятельный сервис проверки скорости интернета
Обратная связь Политика конфиденциальности