Как защититься от опасного роутера?

Question

[Name422]

Есть роутер, который может оказаться опасным, то есть через него могут похитить информацию с твоего компьютера.
Но подключиться к нему надо.

1) Какие меры безопасности можно предпринять чтобы не допустить кражи конфиденциальной информации?
(Может использование фаервола, антивируса и т д)

2) Можно ли настроить роутер так, чтобы красть информацию/шпионить за всеми, кто подключается к этому роутеру?

Опять же, в данном конкретном примере к этому роутеру надо подключиться.

OS: Windows 7

Comments

[vaut]

вы бы ось указали и степень паранойи.
Самое безопасное: поднять туннель и настроить доступ к сети только через этот туннель.
А наоборот самое простое ходить только на https сайты.

[Name422]

vaut, Windows 7

Answer 1

[Антон Уланов]

с чего вы хотите подключиться?

Comments

[Name422]

Ноутбук

[Антон Уланов]

Name422, FireWall С функцией HIPS, ну и VPN

Answer 2

[res2001]

К роутерам обычно подключаются по веб-интрефейсу (через ssl) или по ssh. Вполне безопасные способы.
Организуйте сеть так что бы "опасный" роутер был внешним по отношению к сети и к нему применялись бы все правила, относящиеся к интернету в целом (интернет - это то же "опасное" место).

Comments

[Name422]

То есть настроить подключение к сети вот так?
https://image.prntscr.com/image/zH5nmss3RuG1OGG3P2...

[res2001]

Name422, Тип сети влияет на выбор профиля фаервола. В свою очередь профили фаервола можно настроить по разному, в т.ч. числе и так, что при выборе "Общественная сеть" будет доступно все что только можно. Я бы не закладывался вообще на тип сети.
Для начала хорошо бы увидеть схему сети.
Из вашего вопроса ничего не понятно.

[Name422]

res2001, схема простая в принципе. Ноутбук - роутер - интернет

[res2001]

Name422, в этой схеме "опасный" роутер где?

[res2001]

Name422, Видимо у вас типичная домашняя сеть. С чего вы взяли, что ваш домашний роутер - "опасный"? В конфигурации по умолчанию большинство современных роутеров настроены вполне нормально с точки зрения безопасности внутренней сети. Можете смело заходить на его веб-морду по WiFi или по кабелю, подключенному к LAN разъемы.
Вообще странный вопрос - вы на тостер ходите и не боитесь, а на свой "родной" роутер - боитесь. Думаете там опасней?

[Name422]

res2001, посередине

[Name422]

res2001, это не домашний роутер, а чужой. (нет, не соседей)

[Name422]

res2001, роутер находится у знакомых на работе. Дело не в самих знакомых. Просто роутер принадлежит владельцу помещения (работодатель знакомых). Вопрос в том, может ли этот владелец настроить роутер так, чтобы красть, шпионить за всеми, кто подключается к этому роутеру

[res2001]

Name422, Чужой он только для вашего ноута, а для остальных видимо свой? Как они там все живут до сих пор?
В общем, выставляйте тип сети в общественную и проверьте, чтоб в Центре управления сетями -> Дополнительные параметры общего доступа для общедоступной сети было выключено "сетевое обнаружение" и "общий доступ". При этом для всех сетей надо включить максимальное шифрование и "Вход с парольной защитой".
Антивирус, конечно, у вас должен быть активен.

PS: ну и совет с использованием виртуалки то же годится, если паранойя совсем зашкаливает.

[res2001]

Name422, Ну вот с этого и надо было начинать.
Перед этим "опасным" роутером ставите свой безопасный роутер/шлюз. Тогда он не сможет проникнуть в вашу внутреннюю сеть. Ловить трафик, выходящий наружу - да сможет, так же как и любой оператор связи, который вам интернет дает и любой хост, находящийся на пути между вами и конечным узлом в интернет.
Для защиты от подобного перехвата используют шифрование трафика, например, ходите на сайты только через HTTPS. Шифруйте конфиденциальные данные, передаваемые по почте и т.п.

[res2001]

Name422, Если за роутером нет сети, а только 1 комп, то вот этого будет достаточно.

Answer 3

[Вадим Чопоров]

Извините за оффтоп, но заголовок крутой)) Вы сделали мой вечер))
А вообще, вам нужно постоянно пользовать его, или разовое подключение, для проведения неких работ, и чтения конфига? Если разовое - включите файрвол с дефолтными настройками на время подключения, все основное на вход у вас будет закрыто. Если постоянно - то вообще не подключайтесь, что за необходимость такая в этом случае тыкать конфиденциальную инфу куда попало)) Ну а если там ваще капец, весь инет сидит и ждет когда кто то подрубиться, чтоб забрать у него инфу - поставьте локально чистую виртуалку, и коннектитесь, куда хотите. И играйтесь себе в песочнице, сколь угодно)

Answer 4

[АртемЪ]

Какие меры безопасности можно предпринять чтобы не допустить кражи конфиденциальной информации?
(Может использование фаервола, антивируса и т д)

Только шифрование.

Можно ли настроить роутер так, чтобы красть информацию/шпионить за всеми, кто подключается к этому роутеру?

Непонятно что значит подключается? Разумеется на роутере можно получать весь трафик что проходит через него, вне зависимости от того кто к нему подключается.

Answer 5

[CityCat4]

А на чем роутер-то? Железка, софт?

Answer 6

[DVoropaev]

Используйте VPN.
Не в коем случае не используйте http

Answer 7

[Ярослав]

Windows голым задом в интернет?
Он же и ip-маршрутизатор, а брандмауэр (он межсетевой экран, он же файрволл), он же security gateway?
Мсье знает толк...

Тогда так:
1. Какие меры безопасности можно предпринять чтобы не допустить кражи конфиденциальной информации?
1.1. Завести отдельное устройство для организации стыка с Интернетом. Пусть даже просто сервер с юниксом (OpenWRT/pfSense/m0n0wall), но отдельное.
1.2. Разделить сеть на непересекающиеся функциональные сегменты:
- управление оборудованием
- лица, зашедшие через удалённый доступ
- основные отделы организации
- руководство
- общие ресурсы
1.3. Уточнить у руководства, кто, откуда и куда должен попадать. Любой иной доступ должен быть закрыт.

2. Можно ли настроить роутер так, чтобы красть информацию/шпионить за всеми, кто подключается к этому роутеру?
Любое устройство, через которое проходит трафик, технически способно этот трафик проанализировать, записать - да что угодно с ним сделать: и украсть, и нашпионить.