Jak správně zabezpečit router

Na bezpečnost počítačů a notebooků myslí téměř každý, ochraně tabletů a chytrých mobilních telefonů věnuje pozornost každý druhý, ale na zabezpečení routerů, které jsou základním přístupovým bodem k internetu, si vzpomene jen málokdo. Přitom to je právě router, kudy se do vaší soukromé nebo firemní wi-fi sítě může nabourat útočník a provést tam pořádnou neplechu. Bohužel pro routery neexistuje žádná antivirová ochrana, a tak záleží čistě na každém uživateli, jak přístroj zabezpečí a zda pravidelně kontroluje aktualizace jeho firmwaru.

Základní, ba přímo školáckou chybou je ponechání výchozích přihlašovacích údajů, které do routeru zadal výrobce nebo poskytovatel internetového připojení. Zpravidla jde o jednoduchá a lehce odhalitelná uživatelská jména a hesla typu admin/admin nebo 12345/heslo, která útočníci při pokusech o průnik do sítě zkouší jako první. Úplně nejhorší variantou je situace, kdy si uživatel administraci routeru vystaví do internetu a tudíž je možné ji prolomit zvenku. Třetím nejčastějším úskalím routerů je neaktuální firmware, který může obsahovat různé zranitelnosti.

Málokterý uživatel tuší, že vedle počítače a notebooku by měl pravidelně aktualizovat také router. Některé routery dokáží aktualizace spouštět automaticky, u jiných to výrobci neumožňují a u některých dokonce výrobce aktualizace vůbec neprovádí. Obecně platí, že čím levnější je router, tím je zpravidla podpora ze strany výrobce horší. Neaktualizovaný firmware byl přitom příčinou loňského masivního útoku speciálního malware na stovky českých routerů, který se projevil výpadkem připojení k internetu nebo zobrazováním jiných webových stránek, než které uživatel zadal do internetového prohlížeče.

Obětem útoku se místo požadovaných stránek zobrazovalo upozornění o nutnosti instalovat Flash Player, s nímž se ale do počítače stáhl další malware. Útočníci tak získali kontrolu nejen nad routerem, ale i nad počítačem, který byl připojený k síti vytvořené tímto routerem. Napadení se nevyhnuli ani uživatelé, kteří měli pečlivě zaheslovaný router. Měli smůlu v tom, že jejich zařízení bylo starší a nemělo aktualizovaný firmware. Prostřednictvím zranitelnosti routerů je možné rovněž stahovat jejich konfiguraci a potom je hromadně napadat. V roce 2014 prováděl server Root.cz vlastní šetření na této zranitelnosti a zjistil, že ji obsahuje přes pět tisíc routerů v České republice a na šest tisíc na Slovensku.

Jak se tedy účinně bránit před útoky na routery? Jedinou správnou cestou je koupě kvalitního routeru, který podporuje automatické aktualizace firmware a nevystavuje do internetu svoji administraci. Pokud uživatelé přesto vystavují do internetu některé porty, mělo by jich být co nejméně a ideálně by měly být přesměrovány (port forwarding). Například pokud chce mít uživatel na internetu dostupné SSH běžící nativně na portu 22, na routeru otevře ven port 88 a v routeru nastaví pravidlo "co přijde zvenku na 88, přepošli do lokální sítě nějakému stroji na 22".

I když pro routery neexistují speciální antivirové programy, s jejich ochranou hodně pomůže nástroj ochrany domácí sítě, který je například součástí bezpečnostního balíčku ESET Smart Security Premium. Tento modul dokáže zobrazit všechna zařízení (počítače, telefony, tiskárny atp.) připojená do domácí sítě.

Můžete si tak ověřit, zda router není hacknutý, používá aktuální firmware, nesměruje vás na podvodné DNS servery, neobsahuje bezpečnostní díry a případně, jestli nepoužíváte výchozí přihlašovací údaje do jeho administrace, což je bezpečnostní riziko. Domácí routery se dostávají do hledáčku autorů škodlivých kódů, protože díky bezpečnostním zranitelnostem je snadné je ovládnout a následně je mohou zneužívat pro DDoS útoky, případně vás směrovat na podvodné stránky. Modul rovněž zobrazí všechna zařízení připojená do sítě. Kliknutím na ikonu konkrétního zařízení pak uživatel zobrazí detailní informace jako je IP adresa, MAC adresa či název zařízení.

Ochrana domácí sítě může zároveň upozornit na nové zařízení, které se připojí do sítě ve chvíli, kdy je k ní připojen i uživatel. Sdělí však také informaci o novém zařízení, které se objevilo v síti během doby, kdy uživatel nebyl připojen – v tomto případě se k němu upozornění dostane ve chvíli, kdy se znovu připojí do sítě.

Více informací o produktech ESET naleznete zde.
Zkušební verze naleznete zde.
Zakoupit produkty ESET můžete zde.