Как закрыть 23 порт на роутере

Откройте браузер и в адресной строке введите сетевой IP адрес маршрутизатора (по умолчанию 192.168.1.1), затем нажмите Enter (Ввод).

Введите логин и пароль для входа в web -интерфейс, по умолчанию и логин, и пароль admin .

Нажмите Security -> Firewall (Безопасность -> Брандмауэр) в левой части страницы.

Активируйте Firewall (Брандмауэр) и функцию IP Address Filtering (Фильтрация по IP адресам), выберите Allow the packets not specified by any filtering rules to pass through the router (Разрешить пакеты, не указанные в правилах фильтрации).

Нажмите Save (Сохранить), чтобы сохранить настройки.

Нажмите IP Address Filtering (Фильтрация по IP адресам) в левой части страницы.

Нажмите Add New (Добавить), чтобы создать и настроить правило фильтрации.

Введите IP-адрес и порт сервиса, который вы хотите ограничить. Затем выберите Deny (Отклонить) в выпадающем меню Action (Действие).

Нажмите Save (Сохранить), чтобы сохранить настройки.

TechnoDrive неоднократно писал о том, что защищать WiFi-роутер необходимо, и что это должно быть главной заботой администратора домашней сети. С чего бы это, спросите вы? Ведь информация на маршрутизаторе обычно не хранится! Это так, однако через роутер проходят ваши данные, и на взломанном устройстве они могут быть перехвачены или перенаправлены. После чего, к примеру, вы предоставите свой логин и пароль вовсе не любимой социальной сети или банку, а введёте его на поддельной страничке злоумышленников (напоминающую нужную лишь дизайном). Недавно автор был свидетелем того, как роутер Asus в домашней сети был взломан в ходе обычного просмотра фильма из Интернета на планшете. Давайте подумаем, как этого можно было избежать?

Для безопасной настройки роутера веб-интерфейса недостаточно

Итак, роутер Asus был взломан через Интернет при обычном просмотре фильма онлайн на планшете в домашней сети. Гаджет, соответственно, был подключён по WiFi. При этом, на планшете использовался фирменный браузер, — без всяких плагинов, — с самой свежей версией модной ОС.

Казалось бы, ничто не предвещало беды! Ведь маршрутизатор был защищён длинным паролем, telnet-доступ (как и администрирование через браузер из Интернета) были заблокированы, беспроводная сеть была доступна только для доверенных MAC-адресов, а для шифрования использовалось технология WPA2-PSK (AES). Идентификатор сети SSID был скрыт (и так далее).

Однако настройка роутера Asus была изменена прямо с веб-страницы «кинотеатра», после чего Интернет пропал, а после перезагрузки роутера связь возобновилась с досадным «нововведением». Пароль для админки роутера уже не работал!

Этот случай ярко продемонстрировал, что настройка роутера должна включать в себя не только обязательные манипуляции с веб-интерфейсом, но и нечто большее!

И связано это с тем, что производители домашних маршрутизаторов не всегда предоставляют новые прошивки вовремя, а роутеры со старым программным обеспечением часто содержат известные хакерам уязвимости.

Как же всё-таки не дать взломать роутер?

0. Прежде всего, следуйте инструкциям из текста по ссылке, нужный раздел называется Как настроить WiFi (иначе дальше можно не читать).

1. Тщательно поищите в Интернете, не входит ли производитель вашего WiFi-роутера в заголовки новостей про уязвимости.

Пример запроса на английском языке: «asus router vulnerability» (на русском информация может запаздывать).

Вендор «засветился»? Надо действовать! Причём, действовать даже в том случае, если используется другая модель WiFi-роутера, чем в обзорах (вашу могли не успеть протестировать, либо тестер живёт в стране, где она не продаётся).

Внимание! Дальнейшие действия вы выполняете на свой страх и риск. Автор не может предугадать последствий для всех роутеров всех производителей при настройке всех версий операционных систем. Перепрошивка и iptables — это серьёзно, есть шанс поломать устройство так, что не восстановит и сервисный центр! Особенно это касается перепрошивок!

2. Если засвеченная в Инете уязвимость «лечится» новой прошивкой, попробуйте поменять прошивку. Не торопитесь, внимательнейшим образом прочтите инструкции на сайте производителя!

Совет: под рукой желательно иметь запасной рабочий WiFi-маршрутизатор, если перепрошивка «превратит в кирпич» (или временно сделает недоступным) вашего основного «пациента». Либо, как минимум, нужен альтернативный доступ в Интернет с мобильного устройства, не привязанного к «локалке» и WiFi.

Подсказка: мы не рекомендуем использовать «альтернативные» прошивки, хотя бы потому, что в них уязвимости тоже встречаются. Альтернативные прошивки — это вовсе не панацея против взлома (хотя, конечно, некоторые из них допускают более тонкие настройки безопасности)

Настройка маршрутизатора: вначале — обязательная проверка сброса параметров через выключение и включение

Дальше начинается самое интересное! Чтобы предотвратить взлом роутера, мы вручную защищаем его порты для того, чтобы заражённый планшет, смартфон, Smart TV или «умный холодильник» не смогли добраться до админки WiFi-роутера. Конечно, это не гарантия 100%, но здорово затрудняет работу вредоносным скриптам!

Прежде всего, нужно убедиться в том, что к маршрутизатору есть доступ через Telnet, и что наши новые дополнительные настройки сбросятся, если выключить и включить роутер!

1. Убедитесь в том, что у вас есть доступ к роутеру по Телнету. Для это узнайте IP-адрес роутера. Нажмите «Пуск» — «Выполнить» — введите «cmd» — «Enter» — введите «ipconfig /all» — «Enter». «Основной шлюз» — это и есть айпишник роутера.

Команда для Linux: «route -n», ищите второй IP в первой строке.

2. Попробуйте зайти в роутер через Telnet, наберите в чёрном окне терминала: «telnet IP_адрес_роутера» (к примеру, 192.168.1.2).

Здесь и далее мы считаем, что роутер использует для подключения Telnet порт по умолчанию (23).

Кстати, доступ через Telnet должен быть предварительно разрешён через веб-интерфейс роутера, введите в браузере адрес http://IP_адрес_роутера и поищите эту опцию в настройках (в состоянии Off Телнет точно не будет подключаться).

3. Логин и пароль для Телнета должны быть такие же, как для web-интерфейса управления, и если они «admin/admin» или «admin/1234», то обязательно установите нормальный длинный пароль со спецсимволами и цифрами через web-интерфейс!

4. Будем считать, что вы вошли в роутер через Telnet, то есть получили строку приглашения примерно следующего вида: admin@модель:текущий_путь#. Дальше начинается экспериментирование!

Повторяем, вы действуете на свой страх и риск, автор не может гарантировать, что его личный опыт можно успешно повторить на всех возможных роутерах!

5. Давайте попробуем заблокировать какой-нибудь сайт, который вам никогда не понадобится, в целях тестирования работы netfilter и для проверки успешной работы сброса параметров при выключении роутера.

К примеру, пусть этим сайтом будет ’Action For Singapore Dogs’ (asdsingapore.com, IP: 192.185.46.70). Откройте в интернет-браузере адрес asdsingapore.com. Открылся? Теперь введите в терминале команду:

iptables -I FORWARD -s 192.185.46.70 -j DROP

6. Если роутер не ругается на эту команду, а воспринял её вполне спокойно, то откройте интернет-браузер и попробуйте зайти на сайт asdsingapore.com. Если раньше он ГРУЗИЛСЯ, а теперь — НЕТ, значит вы можете закрывать порты на своём wifi-роутере Asus (или на любом другом, который вы тестируете).

У вас работает netfilter и есть права использовать iptables!

7.САМАЯ ВАЖНАЯ ЧАСТЬ! Выключите WiFi-роутер из сети, а через несколько секунд включите обратно. Если прошла минута, и сайт asdsingapore.com снова ЗАГРУЖАЕТСЯ в браузере, значит, включение и выключение стёрло изменения в iptables и вы можете невозбранно вносить туда свои правки, а потом сбрасывать их (когда понадобится доступ к панели управления) простым выключением и включением роутера.

8. А вот если asdsingapore.com после манипуляций с iptables НЕ грузится, лучше не экспериментировать дальше! Это говорит о том, что устройство запоминает своё состояние, и неверно введённые команды заставят вас, как минимум, возвращать маршрутизатор к заводским настройкам (процесс описан в инструкции по настройке роутера) или обращаться в сервисный центр.

9.Если же ’Action For Singapore Dogs’ был вами успешно заблокирован, а затем благополучно открылся, введите по телнету новые команды «в чёрном окне», строка за строкой:

iptables -I INPUT -p udp —dport 443 -j DROP

iptables -I INPUT -p udp —dport 80 -j DROP

iptables -I INPUT -p udp —dport 23 -j DROP

iptables -I INPUT -p udp —dport 22 -j DROP

iptables -I INPUT -p udp —dport 21 -j DROP

iptables -I INPUT -p tcp —dport 443 -j DROP

iptables -I INPUT -p tcp —dport 80 -j DROP

iptables -I INPUT -p tcp —dport 22 -j DROP

iptables -I INPUT -p tcp —dport 21 -j DROP

iptables -I INPUT -p tcp —dport 23 -j DROP ; exit

Подсказка: это не так сложно, ведь «стрелка вверх» позволяет снова открывать предыдущие строки и редактировать их, а затем нужно нажать «Enter». Кроме того, строки можно просто скопировать и выполнить, одну за другой, из текста TechnoDrive в окне терминала.

10. Если вы заходите с 23-го порта Телнетом (это настройка по умолчанию), то после самой последней строчки у вас пропадёт доступ к роутеру и он выйдет из Telnet. Так и должно быть!

Теперь данными портами (21, 22, 23, 80 и 443), по протоколам TCP и UDP не смогут воспользоваться хакеры (даже если взломают пользовательские устройства вашей сети, к примеру, «IP-видеоняню» или «умную лампочку»).

11. А когда вам понадобится войти в админку (панель управления) через браузер, достаточно будет выключить и включить роутер.

Затем внести, при необходимости, все настройки роутера через веб-интерфейс, а потом повторить всё то, что было сказано выше про telnet и iptables (за исключением тестирования сайта из Сингапура).

Кстати, если в уязвимостях вашего роутера в Интернете указаны и другие уязвимые порты, к примеру, 9999, нужно внести их в начало списка команд! Рабочий пример:

iptables -I INPUT -p udp —dport 9999 -j DROP

iptables -I INPUT -p tcp —dport 9999 -j DROP

Иначе настройка роутера будет неполной, есть шанс взлома маршрутизатора именно через этот порт! Иными словами, ваш производитель мог задействовать для управления устройством и нестандартные порты, тогда правила для iptables надо корректировать. В общем, постарайтесь узнать про недостатки вашего маршрутизатора в Интернете как можно больше!

Что делать, если настроить роутер «до конца» не получается?

Конечно, желательно закрыть все подозрительные порты в WiFi-роутере, поскольку через них обычно подменяют DNS и даже перепрошивают маршрутизаторы.

Оставить открытым, к примеру, стоит UDP-порт для службы DHCP/67 (хотя без DHCP можно обойтись, если сетевые установки на всех устройствах задать вручную). Их текущее состояние, в режиме автоматической настройки (на каждом клиенте), можно выписать — и затем внести IP-адреса в поля для статичной настройки.

Вопрос про UPD для DNS-порта 53 более спорный, тут нужно экспериментировать в зависимости от того, какие DNS-серверы и сетевые настройки вы используете. К примеру, при статических IP (без DHCP) и гугловских DNS-серверах, заданных нами на каждом «клиенте», закрытый по протоколам TCP/UDP порт 53 на роутере Asus на работу сети плохо не влиял.

А если совсем «забить» на настройку роутера?

Если же совсем не настраивать роутер против взлома, как было сказано выше, после вторжения хакеров, к примеру, вы наберёте в браузере на любом устройстве домашней сети online.svoi-bank-doverie.ru, и попадёте на сайт-«обманку», где у вас пытаются вытащить логин и пароль от банковского счёта. Останется надежда только на SMS-верификацию!

То же касается и социальных сетей! Другими словами, роутер, который не стали защищать, это очень и очень чревато!

WiFi-роутер можно защитить от атак клиентских устройств, защитив сами эти устройства

Что же касается планшетов, то в качестве мер защиты браузеров от атак, затрагивающих роутеры (и не только!) порекомендуем Kaspersky Safe Browser для iOS и AdBlock Plus для Chrome/Chromium.

Также продвинутые технологии защиты обещает обновлённый Яндекс.Браузер.

Кроме того, многие хвалят Dr.Web для Android.

Для Smart TV, холодильников Family Hub и прочего придётся подождать антивирус как можно чаще менять прошивки.

Но эти решения, конечно, тоже не идеальны! Ведь защищённые браузеры и антискриптовые плагины не успевают обновлять мгновенно списки заражённых сайтов, а хакеры постоянно придумывают «нестандартные применения» «облегчающему жизнь функционалу» вроде WebRTC.

Так что роутер надо защищать в любом случае!

Для Интернета вещей антивирус пока не придумали

Что же касается защиты от хакеров, которые будут ломать IP-видеокамеры, продвинутую бытовую технику, управляемые через Интернет «умные» дома, телевизоры и лампочки, часы, датчики, медиасерверы и всё остальное. «Тут всё плохо», и можно дать только общий совет!

Не сильно доверяйте грядущему Интернету вещей, защищайте каждое устройство своей локальной сети (которое можно обезопасить через тщательные настройки, новые прошивки или отключение от Интернета, если Сеть не очень требуется) — ну а роутеры нужно защищать в первую очередь.

В публикации TechnoDrive приведён пример защиты WiFi-роутера Asus от взлома изнутри и снаружи локальной сети при помощи блокировки всех входящих TCP/UDP пакетов на популярных портах 21 (FTP), 22 (SSH), 23 (Telnet), 80 (HTTP) и 443 (HTTPS) с использованием iptables (netfilter). Очень вероятно, что для вашего роутера потребуется закрыть дополнительные порты (к примеру, 9999)!

Но требуется ли предварительная тонкая настройка веб-интерфейса? Конечно, но затем (сохранив конфигурацию) лучше задействовать iptables, чтобы хакеры не добрались до панели управления!

Как получить доступ обратно, если нужно что-то переконфигурировать? Выключите и включите роутер, и все ваши дополнительные настройки iptables, закрывающие вышеуказанные порты, должны исчезнуть.

После внесения изменений в конфигурацию через веб-интерфейс снова заблокируйте порты через Telnet. Если ваш роутер подключён в электросеть через «бесперебойник», это придётся делать достаточно редко. В противном случае дополнительная защита будет «обнуляться» каждый раз после отключения питания (UPD: и после потери связи с провайдером*).

Как проверить, что порты закрыты? Вы не сможете зайти в админку роутера ни через браузер, ни через Telnet, и «Сезам откроется» лишь только после выключения и включения маршрутизатора. При этом трафик через роутер должен свободно проходить, ведь мы не меняли в iptables правила FORWARD.

* — В процессе эксплуатации выяснилось, что подопытный WiFi-роутер сбрасывает iptables к исходному состоянию после автоматического восстановления связи с провайдером. Как часто? Разрыв при ADSL-соединении происходит каждые несколько суток. Как следить за тем, закрыты ли порты? К примеру, внести IP-адрес веб-интерфейса роутера в качестве начальной страницы в браузер. Если панель управления роутером загружается, значит порты раскрылись, и их снова нужно закрывать через Telnet указанными выше командами. Можно ли полностью автоматизировать этот процесс? Конечно, но для этого потребуются навыки программиста.

Чуть не забыли: у TechnoDrive есть группа ВКонтакте — и на Facebook. Подключайтесь!

Полезный блог для начинающих пользователей компьютера и не только..

Страницы

8/05/2019

Как закрыть порты, блокируем протоколы

Привет всем читателям блога.
Сегодня мы поговорим о портах Windows и как их закрыть. Чтобы защитить компьютер, не обязательно пользоваться брандмауэром: вы можете вручную закрыть порты и блокировать некоторые протоколы.
Брандмауэр способен защитить персональный компьютер и сеть от незваных гостей. Если вы не хотите устанавливать брандмауэр, но все же хотите защитить свой компьютер, то у вас есть возможность вручную закрыть тот или иной порт или блокировать определенные протоколы.
Некоторые порты и протоколы могут быть использованы для атаки на вашу систему. Например, кто-нибудь может управлять вашим компьютером с помощью службы Telnet, если порт, через который она обычно работает (порт 23), оставлен открытым. Во многом известный троян Back Orifice, дающий отморозкам неограниченную власть над вашей системой, использует различные порты, и порты с номерами 31337 и 31338.
Чтобы защитить свой компьютер, вам стоит закрыть все порты, кроме тех, которые нужны
для работы, например порт 80 должен быть открыт, если вы хотите просматривать
web — страницы.

Как закрыть порты

Чтобы вручную закрыть порты и блокировать протоколы, щелкните правой кнопкой мыши
на папке Сетевое окружение (My Network Places) и выберите пункт Свойства (Properties), откроется папка Сетевые подключения (Network Connections). Затем щелкните правой кнопкой мыши на соединении, для которого вы хотите закрыть порты, и снова выберите Свойства. Выделите в списке строчку Протокол Интернета (TCP/IP) (Internet protocol (TCP/IP) и щелкните на кнопке Свойства (Properties).

На вкладке Общие (General) щелкните на кнопке Дополнительно (Advanced). В появившемся диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку Параметры (Options), выделите строчку Фильтрация TCP/IP (TCP/IP Filtering) и щелкните на кнопке Свойства (Properties). Появится диалоговое окно Фильтрация TCP/IP (TCP/IP filtering). Чтобы заблокировать порты TCP, UDP и протоколы IP, для каждого из них выберите пункт Только (Permit only).
Таким образом вы успешно закроете все порты TCP, UDP и заблокируете протоколы IP.
Как устранить ошибки в портах читайте далее

Однако закрыть все порты — это не выход. Нужно указать системе, через какие порты можно
передавать данные. Запомните, что если вы хотите просматривать web — страницы, необходимо открыть порт 80! Чтобы открыть определенные порты или разрешить использование некоторых протоколов, щелкните на кнопке Добавить (Add). Укажите порты и протоколы, которые вы хотите открыть, а затем нажмите ОК. Теперь будут использоваться только порты и протоколы из составленного вами списка.

Обратите внимание, что сетевые службы и приложения используют сотни различных портов TCP и UDP. Если вы разрешите только работу с web — сайтами (порт 80), то вы не сможете использовать другие ресурсы Интернета, такие как FTP, электронная почта (e — mail), совместный доступ к файлам, потоковый звук и видео и т. д. Поэтому данный способ подходит только тогда, когда вы хотите свести к минимуму число сетевых служб и приложений, работающих на вашем компьютере.

Получение списка имеющихся в системе портов

Существует как минимум два способа:
1. Список доступных портов можно узнать, проанализировав ключ реестра
HKEY_LOCAL_MACHINE/HARDWARE/DEVICEMAP/SERIALCOMM
2. Можно поочередно попробовать открыть порты COM1 .. COM9, таким образом удастся
установить все доступные порты (т. е. порты, не открытые другими приложениями).

Как отключить ненужные службы Windows XP Вы можете узнать здесь
Как изменить динамический IP-адрес, для обхода времени ожидания
на файлообменниках читайте далее
Вот вкратце вы ознакомились, с тем, как можно закрыть порты.