Инструкция по настройке роутеров Xiaomi Mi Wi-Fi

Производители роутеров зачастую не слишком заботятся о качестве кода, поэтому и уязвимости нередки. Сегодня роутеры — приоритетная цель сетевых атак, позволяющая украсть деньги и данные в обход локальных систем защиты. Как самому проверить качество прошивки и адекватность настроек? В этом помогут бесплатные утилиты, сервисы онлайн-проверки и эта статья.

Настройка

Прежде чем приступить к настройке DMZ скажу несколько моментов. В домашних маршрутизаторах нет полноценной возможности создать демилитаризованную зону, так как данные аппараты для этого не предназначены. Да – данная настройка есть, но она позволяет делать полностью открытыми порты только для одного сегмента сети. Но чаще всего этого становится достаточно. Например, если вам нужно иметь доступ к нескольким камерам, то лучше подключить их к видеорегистратору, на который вы и будете делать доступ.

Все настройки делаются в Web-интерфейсе, куда можно попасть, введя IP или DNS адрес интернет-центра в адресную строку любого браузера. Чаще всего используются адреса: или Также этот адрес можно посмотреть на этикетке под корпусом самого аппарата.

ВНИМАНИЕ! Также для доступа извне вам нужно чтобы у вас был «белый» IP адрес. Если вы не знаете, что это, то советую почитать эту статью.

Поиск вашего MAC-адреса

Единственная реальная работа, которую вам нужно будет сделать, — найти MAC-адрес сетевой карты каждого компьютера. Если вы используете беспроводную сеть, вы должны найти MAC своей беспроводной карты, а если вы подключены, используйте карту Ethernet.

Поиск вашего MAC-адреса

Просто перейдите к значку на панели задач вашего подключения и нажмите на него. Моя сеть — беспроводная.

Щелкните правой кнопкой мыши текущее активное соединение и нажмите «Состояние».

Поиск вашего MAC-адреса

Нажмите кнопку «Подробнее …».

Ваш MAC-адрес для этого устройства указан как «Физический адрес».

Поиск вашего MAC-адреса

Пользователи OS X могут проверить свои системные настройки и нажать «Сеть». Если вы нажмете на различные вкладки для своего подключения, вы должны найти «Физический идентификатор», «Ethernet-идентификатор» или «MAC-адрес». Пользователи Ubuntu могут ввести «ifconfig» в Terminal. Вы увидите различные сетевые адаптеры, каждый из которых отображает свой собственный аппаратный адрес. Сделайте это для всех компьютеров в вашей сети, для которых вам необходима переадресация портов. Остальные просто получат свои IP-адреса, автоматически назначаемые DHCP.

Читайте также:  Особенности SEO-продвижения в Google и Яндекс

Сверхскопление массивных дыр

Беда редко приходит одна: активация WPS автоматически приводит к включению UPnP. Вдобавок используемый в WPS стандартный пин-код или ключ предварительной аутентификации сводит на нет всю криптографическую защиту уровня WPA2-PSK. Из-за ошибок в прошивке WPS часто остается включен даже после его отключения через веб-интерфейс. Узнать об этом можно с помощью Wi-Fi-сканера — например, бесплатного приложения Wifi Analyzer для смартфонов с ОС Android.  Если уязвимые сервисы используются самим администратором, то отказаться от них не получится. Хорошо, если роутер позволяет хоть как-то их обезопасить. Например, не принимать команды на порт WAN или задать конкретный IP-адрес для использования Telnet. Иногда возможности настроить или просто отключить опасный сервис в веб-интерфейсе просто нет и закрыть дыру стандартными средствами невозможно. Единственный выход в этом случае — искать новую или альтернативную прошивку с расширенным набором функций.

Возможности прошивки

Маршрутизатор собирает подробные сведения о работе сети и ее клиентах в реальном времени. Отображает статистику о загруженности памяти и процессора, расходованном трафике и текущей скорости интернета. Позволяет устанавливать лимиты скорости и объема передаваемых данных для каждого устройства, формировать белый и черный списки.

В разделе с параметрам локальной сети изменяются IP-адреса DNS-сервера и роутера (для входа в настройки).

В расширенных настройках пробрасываются порты.

Почему Universal Plug and Play небезопасен

Компьютерные технологии призваны облегчать работу различных современных гаджетов. Но при их использовании существуют риски:

  • Доступ глобальной сети.

Изначально планировалось использовать этот умный сервис для связи домашних компьютерных гаджетов только на локальном уровне внутри одной сети. Эта система настолько прижилась в IT-мире, но и многие модифицированные роутеры теперь включают UPnP в прошивку по умолчанию, тем самым давая доступ к самому маршрутизатору и всем подключенным к нему девайсам сети Интернет. Этим могут воспользоваться компьютерные злоумышленники (получить доступ к чужому ПК, использовать подключенные устройства для рассылки спама и вирусов).

Почему Universal Plug and Play небезопасен
  • Ошибки программирования устройств.
Читайте также:  Инвестиции в 2019 году. Куда выгодно вложить деньги

Не все электронные гаджеты поспевают за обновлениями программных обеспечений. UPnP совершенствуется разработчиками каждый год, но мошенники находят уязвимые места в программах подключенных устройств и тем самым обходят защиту UPnP и подключаются к персональным устройствам пользователя из его локальной сети.

Внедрите технологию Reverse Access

Подход от компании Safe-T — технология Reverse Access — сделает DMZ еще более безопасной. Эта технология, основанная на использовании двух серверов, устраняет необходимость открытия любых портов в межсетевом экране, в то же самое время обеспечивая безопасный доступ к приложениям между сетями (через файрвол). Решение включает в себя:

  • Внешний сервер — устанавливается в DMZ / внешнем / незащищенном сегменте сети.
  • Внутренний сервер — устанавливается во внутреннем / защищенном сегменте сети.
Внедрите технологию Reverse Access

Роль внешнего сервера, расположенного в DMZ организации (на месте или в облаке), заключается в поддержании клиентской стороны пользовательского интерфейса (фронтенда, front-end) к различным сервисам и приложениям, находящимися во Всемирной сети. Он функционирует без необходимости открытия каких-либо портов во внутреннем брандмауэре и гарантирует, что во внутреннюю локальную сеть могут попасть только легитимные данные сеанса. Внешний сервер выполняет разгрузку TCP, позволяя поддерживать работу с любым приложением на основе TCP без необходимости расшифровывать данные трафика криптографического протокола SSL (Secure Sockets Layer, уровень защищенных cокетов).

Роль внутреннего сервера заключается в том, чтобы провести данные сеанса во внутреннюю сеть с внешнего узла SDA (Software-Defined Access, программно-определяемый доступ), и, если только сеанс является легитимным, выполнить функциональность прокси-сервера уровня 7 (разгрузка SSL, переписывание URL-адресов, DPI (Deep Packet Inspection, подробный анализ пакетов) и т. д.) и пропустить его на адресованный сервер приложений.

Технология Reverse Access позволяет аутентифицировать разрешение на доступ пользователям еще до того, как они смогут получить доступ к вашим критически-важным приложениям. Злоумышленник, получивший доступ к вашим приложениям через незаконный сеанс, может исследовать вашу сеть, пытаться проводить атаки инъекции кода или даже передвигаться по вашей сети. Но лишенный возможности позиционировать свою сессию как легитимную, атакующий вас злоумышленник лишается большей части своего инструментария, становясь значительно более ограниченным в средствах.

Внедрите технологию Reverse Access

Вечный параноик, Антон Кочуков.

Читайте также:  AMP Global – форекс и фьючерсный брокер

Отмена конфигурации

Что делать, когда вы проставили неправильное значение? Если настройки выставлены некорректно, использование интернета будет сопровождаться еще большими сбоями и торможениями.

Чтобы сбросить внесенные изменения, зайдите в настройки маршрутизатора и снова измените mtu вручную. Учитывайте оптимально значение в зависимости от используемого протокола передачи данных на вашем ПК:

  • Для протокола PPPoE нормальное значение будет равно 1420;
  • Dynamic/Static IP – 1500;
  • L2TP -1460.

Более 90% пользовательский компьютеров используют Dynamic/Static IP. Советуем узнать точный вид протокола, в настройках роутера выполните следующие действия:

Отмена конфигурации
  1. Кликните на вкладку «Быстрая настройка»;
  2. Затем на «Автоматическое определение типа подключения» и «Далее»;

Рис. 7 – определение типа используемого подключения

  1. Дождитесь пока система самостоятельно выберет правильный вариант;
  2. Посмотрите, какой тип соединения был обнаружен и в настройках проставьте оптимальное значение, исходя из указанных в предыдущем списке цифр.

После завершения настройки перезагрузите компьютер и его подключение к глобальной сети. Если проблемы с Интернетом не прекратились, свяжитесь с провайдером для получения индивидуальной консультации. Неполадка может возникать и на стороне поставщика услуг связи.

Проброс портов через роутер

Буквально два слова про проброс портов вцелом. Проброс портов можно было бы назвать частным случаем DMZ если бы не то, что DMZ в том виде, в котором он реализован на домашних роутерах не появился бы позже термина проброс порта. Многие пользователи не понимают смысла слова порт. Можно, если угодно расценивать порт, как цифровую метку (в виде цифры) на пакетах, помогающую сортировать информационные пакеты по назначению. Своего рода дополнительное средство маршрутизации. Как правило в настройках роутера присутствует пункт переадресация портов. Для этого следует указать IP устройства в сети роутера, порт(т.е. ту самую метку) по которому это устройство доступно по управлению, внешний порт — это порт который будет привязан к указанным порту и IP устройства. Вывод: DMZ по сути является пробросом портов на конкретный IP в локальной сети маршрутизатора(роутера) из внешней сети. Отличие от проброса портов, в том, что в случае DMZ для указанного IP открываются все возможные порты одновременно. Это не эффективно с точки зрения безопасности, однако, значительно облегчает настройку удалённого доступа к какому-либо устройству за роутером. Обычно эта возможность применяется в видеонаблюдении.