خطرات امنیتی مودم‌ها و روترها؛ چگونه از دروازه‌ دیجیتال خود محافظت کنیم؟

مودم‌ها و روترها دروازه‌ی اصلی اتصال ما به دنیای دیجیتال هستند، اما اغلب پس از نصب اولیه فراموش می‌شوند. همین غفلت، مسیری هموار را برای نفوذ هکرها و سرقت اطلاعات باز می‌کند.

در مقاله‌ی پیش‌رو، ابتدا دلایل آسیب‌پذیری این دستگاه‌های حیاتی را بررسی می‌کنیم و سپس راهکارهایی ساده و مؤثر برای امن‌کردن شبکه‌ی خانگی و کاری شما ارائه می‌دهیم.

بسیاری از حملات سایبری به روترها نه با تکنیک‌های پیچیده، بلکه به‌لطف تنظیمات ضعیف و مشکلات ذاتی در طراحی اولیه‌ی آن‌ها اتفاق می‌افتد. در ادامه به مهم‌ترین ضعف‌های امنیتی مودم‌ها و روترها نگاهی می‌اندازیم.

رمز عبور، نخستین خط دفاعی شما به‌شمار می‌رود. روتر شما دو رمز عبور اصلی دارد: یکی برای ورود به پنل تنظیمات و دیگری برای اتصال به شبکه‌ی وای‌فای. ضعف در هرکدام از این‌ها، می‌تواند تمام شبکه‌ی شما را بی‌دفاع سازد.

• رمز عبور پیش‌فرض پنل مدیریت: بسیاری از کاربران هرگز نام کاربری و رمز عبور پیش‌فرض کارخانه‌ای (مانند admin/admin) را برای ورود به تنظیمات روتر تغییر نمی‌دهند. این ترکیب‌ها به‌راحتی در اینترنت پیدا می‌شوند و اولین گزینه‌ی هکرها برای نفوذ هستند.

• رمزهای عبور ساده برای وای‌فای: انتخاب رمزهای ضعیف برای وای‌فای، شبکه‌ی شما را در برابر حملات جست‌وجوی فراگیر (Brute Force) آسیب‌پذیر می‌کند. در این نوع حمله، مهاجم با روش آزمون و خطا، میلیون‌ها ترکیب مختلف را به‌صورت خودکار امتحان می‌کند تا سرانجام به رمز صحیح دست پیدا کند و به شبکه‌ی شما متصل شود.

روترها نیز مانند کامپیوترها از یک سیستم‌عامل به نام فریم‌ور (Firmware) بهره می‌برند که به به‌روزرسانی‌های امنیتی نیازمند است. بی‌توجهی به این موضوع، دو مشکل اساسی ایجاد می‌کند:

• عدم نصب به‌روزرسانی‌ها: با باقی‌ماندن نسخه‌های قدیمی، حفره‌های امنیتی شناخته‌شده همچنان باز می‌مانند و مسیر نفوذ برای مهاجمان هموار می‌شود.

• دستگاه‌هایی که به پایان عمر خوده رسیده‌اند (EoL): بسیاری از روترهای قدیمی دیگر تحت پشتیبانی سازنده قرار ندارند و هیچ وصله‌ی امنیتی جدیدی دریافت نمی‌کنند. این دستگاه‌ها برای همیشه در برابر حملات جدید آسیب‌پذیر خواهند ماند.

بسیاری از قابلیت‌هایی که برای راحتی کاربر طراحی شده‌اند، اگر به‌درستی مدیریت نشوند، به نقطه‌ضعف بزرگی در امنیت شبکه تبدیل می‌شوند. برای مثال:

• WPS (Wi-Fi Protected Setup): این ویژگی که برای اتصال آسان دستگاه‌ها به شبکه کاربرد دارد، یک نقص امنیتی مشهور دارد. هکرها می‌توانند با حملاتی ساده، پین ۸ رقمی آن را در چند ساعت کشف کنند و به شبکه دسترسی یابند؛ حتی اگر رمز وای‌فای شما بسیار قوی باشد.

• UPnP (Universal Plug and Play): این قابلیت به برنامه‌هایی مانند بازی‌های آنلاین اجازه می‌دهد پورت‌های مورد نیاز خود را به‌طور خودکار روی روتر باز کنند؛ اما اگر یکی از دستگاه‌های داخل شبکه آلوده شود، بدافزار می‌تواند از UPnP برای باز کردن یک در پشتی و برقراری ارتباط با سرورهای مهاجمان سوءاستفاده کند.

نفوذ به روترها لزوماً به‌معنای حضور یک هکر پشت مانیتور نیست و اغلب حملات از طریق اسکریپت‌ها و بدافزارهای خودکار انجام می‌شوند. روش‌های زیر از رایج‌ترین تکنیک‌های مورد استفاده هستند:

در این روش، مهاجم با تغییر تنظیمات DNS روتر، شما را هنگام مراجعه به سایت‌های مهمی مانند بانک، به نسخه‌های جعلی و کاملاً مشابه هدایت می‌کند تا اطلاعات ورودتان را به سرقت ببرد. این نوع حمله به‌ویژه در شبکه‌های خانگی شیوع زیادی دارد.

در حملات مرد میانی (Man-in-the-Middle یا MITM)، مهاجم خود را میان ارتباط شما و اینترنت قرار می‌دهد و تمام تبادلات اطلاعاتی را رهگیری یا دستکاری می‌کند. یکی از رایج‌ترین انواع آن، ساخت یک شبکه‌ی وای‌فای جعلی با نامی معتبر (مثلاً نام وای‌فای یک فرودگاه) است تا کاربران فریب‌خورده به آن متصل شوند.

روترهای آسیب‌پذیر می‌توانند به بخشی از یک شبکه‌ی بات‌نت (Botnet) تبدیل شوند. برای مثال، بدافزار مشهور میرای (Mirai) با بهره‌برداری از رمزهای پیش‌فرض، هزاران روتر و دستگاه اینترنت اشیاء (IoT) را آلوده کرد و از آن‌ها برای حملات گسترده‌ی DDoS علیه زیرساخت‌های اینترنت بهره گرفت.

امنیت به لوگو گره نمی‌خورد. گزارش‌های فنی نشان می‌دهد تقریباً همه‌ی سازندگان بزرگ روتر، در مقاطع مختلف با نقص‌های مشابه روبه‌رو شده‌اند و هیچ برندی مصونیت دائمی ندارد.

در مدل‌های قدیمی‌تر روتر و مودم تی پی لینک و دی لینک که از چرخه‌ی پشتیبانی خارج شده‌اند (EoL)، معمولاً بیشترین ضعف‌ها دیده می‌شود. حفره‌هایی مانند تزریق فرمان (Command Injection) و سرریز بافر (Buffer Overflow) راه اجرای کد از راه دور را باز می‌کنند و مهاجم می‌تواند کنترل کامل دستگاه را در دست بگیرد.

نقص‌هایی نظیر دور زدن احراز هویت (Authentication Bypass) در سرویس AiCloud ایسوس و تزریق فرمان در پیاده‌سازی UPnP برخی روترهای نت‌گیر بارها گزارش شده‌اند؛ ضعف‌هایی که اجازه می‌دهند بدون دانستن رمز عبور به پنل مدیریت دسترسی پیدا شود.

در بعضی مدل‌ها نام کاربری و رمز عبورِ سخت‌کدشده داخل فریم‌ور وجود دارد و کاربر امکان تغییر آن‌ها را ندارد. مهاجمان با مهندسی معکوسِ فریم‌ور می‌توانند این درِ پشتی را پیدا کنند و از همان مسیر به دستگاه نفوذ کنند.

برای ایمن‌سازی مؤثر، باید رویکرد دفاع چندلایه‌ای را در پیش گرفت؛ یعنی ایجاد لایه‌های حفاظتی که در کنار هم، نفوذ را برای مهاجم دشوارتر می‌کنند. در ادامه، راهکارهایی را از اقدامات پایه تا تنظیمات پیشرفته مرور می‌کنیم:

این اقدامات پایه‌ای‌ترین و ضروری‌ترین لایه‌های دفاعی هستند که هر کاربری باید انجام دهد.

۱. تغییر فوری رمزهای عبور پیش‌فرض

بلافاصله پس از راه‌اندازی روتر، نام کاربری و رمز عبور پنل مدیریت را تغییر دهید. از رمز عبوری با دست‌کم ۱۲ کاراکتر و ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها استفاده کنید. رمز عبور وای‌فای را نیز با اصول مشابه تقویت کنید.

۲. به‌روزرسانی منظم فریم‌ور (Firmware)

هر چند ماه یک‌بار به وب‌سایت رسمی سازنده‌ی روتر سر بزنید و در صورت وجود، نسخه‌ی جدید فریم‌ور را نصب کنید.

۳. استفاده از پروتکل رمزنگاری قوی (WPA2/WPA3)

اطمینان حاصل کنید که شبکه‌ی وای‌فای شما از جدیدترین پروتکل‌های رمزنگاری مانند WPA3 یا حداقل WPA2 بهره می‌برد و تحت هیچ شرایطی سراغ پروتکل‌های قدیمی و ناامن WEP یا WPA نروید. همچنین می‌توانید با برنامه‌هایی ایمن بودن شبکه‌ی WiFi را بررسی کنید.

۴. غیرفعال کردن WPS

این قابلیت یک حفره‌ی امنیتی بزرگ است. آن را از طریق پنل مدیریت، در تنظیمات وای‌فای یا بخش WPS غیرفعال کنید.

۵. امنیت فیزیکی

روتر خود را در مکانی امن قرار دهید تا از دسترسی فیزیکی افراد غیرمجاز و دستکاری آن جلوگیری شود.

پس از انجام مراحل حیاتی، این تنظیمات لایه‌های امنیتی بیشتری را به شبکه‌ی شما اضافه می‌کنند.

۶. غیرفعال کردن UPnP

این قابلیت می‌تواند به یک در پشتی برای بدافزارها تبدیل شود. گزینه‌ی UPnP را در بخش تنظیمات پیشرفته (Advanced) یا NAT Forwarding پیدا و آن را غیرفعال کنید. (توجه: غیرفعال کردن این ویژگی ممکن است در اتصال برخی بازی‌های آنلاین اختلال ایجاد کند).

۷. غیرفعال کردن مدیریت از راه دور

دسترسی مدیریت از راه دور (Remote Administration) را غیرفعال کنید تا امکان ورود به پنل تنظیمات از طریق اینترنت مسدود شود.

۸. ایجاد شبکه‌ی مهمان

اگر روتر شما از قابلیت شبکه‌ی مهمان (Guest Network) پشتیبانی می‌کند، آن را برای دستگاه‌های مهمانان فعال کنید. حتماً گزینه‌ای مانند Allow guests to access local network را غیرفعال کنید تا دسترسی آن‌ها به سایر دستگاه‌های شما مسدود شود.

۹. تغییر DNS پیش‌فرض به سرویس‌های امن

تنظیمات DNS روتر را به ارائه‌دهندگان امنی مانند کلودفلر (1.1.1.1) یا گوگل (8.8.8.8) تغییر دهید. این کار ضمن افزایش حریم خصوصی، احتمال ربایش DNS را کاهش می‌دهد. پیش‌تر درباره‌ی اینکه DNS چیست صحبت کرده‌ایم.

۱۰. فیلتر کردن آدرس MAC

هر دستگاه متصل به شبکه یک شناسه‌ی سخت‌افزاری منحصربه‌فرد به نام آدرس MAC دارد. قابلیت فیلتر کردن به شما امکان می‌دهد فهرستی از آدرس‌های MAC مجاز برای اتصال به شبکه تعریف کنید. اگرچه هکرهای حرفه‌ای می‌توانند این محدودیت را دور بزنند، اما همین روش مانعی مؤثر برای نفوذگران مبتدی است.

۱۱. پنهان کردن نام شبکه (SSID)

نام عمومی شبکه‌ی وای‌فای شما SSID (Service Set Identifier) نام دارد. می‌توانید پخش این نام را غیرفعال کنید تا در فهرست شبکه‌های اطراف نمایش داده نشود. اگرچه این کار امنیت کامل ایجاد نمی‌کند، اما یک لایه‌ی حفاظتی ساده برای پنهان ماندن از دید اولیه است.

امنیت مودم‌ها و روترها اغلب نادیده گرفته می‌شود؛ درحالی‌که این دستگاه‌ها دروازه‌ای حیاتی در فضای دیجیتال به‌شمار می‌روند و بی‌توجهی به آن‌ها، به پاشنه‌ی آشیل امنیت تبدیل می‌شود. خوشبختانه با رعایت مجموعه‌ای از اقدامات ساده و هوشمندانه، می‌توان سطح ایمنی شبکه را به‌طور چشمگیری ارتقاء داد.

اگر شما نیز راهکار‌های دیگری برای ارتقای امنیت شبکه‌های خانگی خود و حفظ ایمنی و حریم خصوصی در دنیای دیجیتال دارید، آن را با ما به اشتراک بگذارید.