خطرات امنیتی مودم‌ها و روترها؛ چگونه از دروازه‌ دیجیتال خود محافظت کنیم؟

مودم‌ها و روترها دروازه‌ی اصلی وصل شدن ما به دنیای دیجیتال هستند، اما اغلب پس از شروع کردن کردن اولیه فراموش می‌شوند. همین غفلت، مسیری هموار را برای نفوذ هکرها و سرقت اطلاعات باز می‌کند.

در مقاله‌ی پیش‌رو، ابتدا دلایل آسیب‌پذیری این دستگاه‌های حیاتی را بررسی کردن می‌کنیم و سپس راهکارهایی ساده و مؤثر برای امن‌کردن شبکه‌ی خانگی و کاری شما ارائه می‌دهیم.

 

 

بسیاری از حملات سایبری به روترها نه با تکنیک‌های پیچیده، بلکه به‌لطف گزینه‌ها ضعیف و مشکلات ذاتی در طراحی اولیه‌ی آن‌ها اتفاق می‌افتد. سپس به مهم‌ترین ضعف‌های ایمنیی مودم‌ها و روترها نگاهی می‌اندازیم.

پسورد، نخستین خط دفاعی شما به‌شمار می‌رود. روتر شما دو پسورد اصلی دارد: یکی برای لاگین به پنل گزینه‌ها و دیگری برای وصل شدن به شبکه‌ی وای‌فای. ضعف در هرکد برنامهام از این‌ها، می‌تواند تمام شبکه‌ی شما را بی‌دفاع سازد.

• پسورد پیش‌فرض پنل کنترل: بسیاری از یوزران هرگز نام یوزری و پسورد پیش‌فرض کارخانه‌ای (مانند admin/admin) را برای لاگین به گزینه‌ها روتر تغییر نمی‌دهند. این ترکیب‌ها به‌راحتی در اینترنت پیدا می‌شوند و اولین گزینه‌ی هکرها برای نفوذ هستند.

• رمزهای عبور ساده برای وای‌فای: انتخاب رمزهای ضعیف برای وای‌فای، شبکه‌ی شما را در برابر حملات جست‌وجوی فراگیر (Brute Force) آسیب‌پذیر می‌کند. در این نوع حمله، مهاجم با روش آزمون و اشتباه، میلیون‌ها ترکیب مختلف را به‌صورت خودکار امتحان می‌کند تا سرانجام به رمز صحیح دست پیدا کند و به شبکه‌ی شما متصل شود.

روترها نیز مانند کامپیوترها از یک سیستم‌عامل به نام فریم‌ور (Firmware) بهره می‌برند که به به‌روزرسانی‌های ایمنیی نیازمند است. بی‌توجهی به این موضوع، دو مشکل اساسی ایجاد می‌کند:

• عدم شروع کردن کردن به‌روزرسانی‌ها: با باقی‌ماندن ورژن‌های قدیمی، حفره‌های ایمنیی شناخته‌شده همچنان باز می‌مانند و مسیر نفوذ برای مهاجمان هموار می‌شود.

• دستگاه‌هایی که به پایان عمر خوده رسیده‌اند (EoL): بسیاری از روترهای قدیمی دیگر تحت کمک سازنده قرار ندارند و هیچ وصله‌ی ایمنیی جدیدی دریافت نمی‌کنند. این دستگاه‌ها برای همیشه در برابر حملات جدید آسیب‌پذیر خواهند ماند.

بسیاری از قابلیت‌هایی که برای راحتی یوزر طراحی شده‌اند، اگر به‌درستی کنترل نشوند، به نقطه‌ضعف بزرگی در ایمنی شبکه تبدیل می‌شوند. برای مثال:

• WPS (Wi-Fi Protected Setup): این ویژگی که برای وصل شدن آسان دستگاه‌ها به شبکه یوزرد دارد، یک نقص ایمنیی مشهور دارد. هکرها می‌توانند با حملاتی ساده، پین ۸ رقمی آن را در چند ساعت کشف کنند و به شبکه اجازه دسترسی یابند؛ حتی اگر رمز وای‌فای شما بسیار قوی باشد.

• UPnP (Universal Plug and Play): این قابلیت به برنامه‌هایی مانند بازی‌های آنلاین اجازه می‌دهد پورت‌های مورد نیاز خود را به‌طور خودکار روی روتر باز کنند؛ اما اگر یکی از دستگاه‌های داخل شبکه آلوده شود، بدافزار می‌تواند از UPnP برای باز کردن یک در پشتی و برقراری ارتباط با سرورهای مهاجمان سوءاستفاده کند.

 

 

نفوذ به روترها لزوماً به‌معنای حضور یک هکر پشت مانیتور نیست و اغلب حملات با اسکریپت‌ها و بدافزارهای خودکار انجام می‌شوند. روش‌های زیر از رایج‌ترین تکنیک‌های مورد استفاده هستند:

در این روش، مهاجم با تغییر گزینه‌ها DNS روتر، شما را هنگام مراجعه به سایت‌های مهمی مانند بانک، به ورژن‌های جعلی و کاملاً مشابه هدایت می‌کند تا اطلاعات لاگینتان را به سرقت ببرد. این نوع حمله به‌ویژه در شبکه‌های خانگی شیوع زیادی دارد.

در حملات مرد میانی (Man-in-the-Middle یا MITM)، مهاجم خود را میان ارتباط شما و اینترنت قرار می‌دهد و تمام تبادلات اطلاعاتی را رهگیری یا دستکاری می‌کند. یکی از رایج‌ترین انواع آن، ساخت یک شبکه‌ی وای‌فای جعلی با نامی معتبر (مثلاً نام وای‌فای یک فرودگاه) است تا یوزران فریب‌خورده به آن متصل شوند.

روترهای آسیب‌پذیر می‌توانند به بخشی از یک شبکه‌ی بات‌نت (Botnet) تبدیل شوند. برای مثال، بدافزار مشهور میرای (Mirai) با بهره‌برداری از رمزهای پیش‌فرض، هزاران روتر و دستگاه اینترنت اشیاء (IoT) را آلوده کرد و از آن‌ها برای حملات گسترده‌ی DDoS علیه زیرساخت‌های اینترنت بهره گرفت.

 

 

ایمنی به لوگو گره نمی‌خورد. ریپورت‌های فنی نشان می‌دهد تقریباً همه‌ی سازندگان بزرگ روتر، در مقاطع مختلف با نقص‌های مشابه روبه‌رو شده‌اند و هیچ برندی مصونیت دائمی ندارد.

در مدل‌های قدیمی‌تر روتر و مودم تی پی لینک و دی لینک که از چرخه‌ی کمک خارج شده‌اند (EoL)، معمولاً بیشترین ضعف‌ها دیده می‌شود. حفره‌هایی مانند تزریق فرمان (Command Injection) و سرریز بافر (Buffer Overflow) راه اجرای کد برنامه از راه دور را باز می‌کنند و مهاجم می‌تواند کنترل کامل دستگاه را در دست بگیرد.

نقص‌هایی مثل دور زدن احراز هویت (Authentication Bypass) در خدمت AiCloud ایسوس و تزریق فرمان در پیاده‌سازی UPnP برخی روترهای نت‌گیر بارها ریپورت شده‌اند؛ ضعف‌هایی که اجازه می‌دهند بدون دانستن پسورد به پنل کنترل اجازه دسترسی پیدا شود.

در بعضی مدل‌ها نام یوزری و پسوردِ سخت‌کد برنامهشده داخل فریم‌ور هست و یوزر امکان تغییر آن‌ها را ندارد. مهاجمان با مهندسی معکوسِ فریم‌ور می‌توانند این درِ پشتی را پیدا کنند و از همان مسیر به دستگاه نفوذ کنند.

 

 

برای ایمن‌سازی مؤثر، باید رویکرد دفاع چندلایه‌ای را در پیش گرفت؛ یعنی ایجاد لایه‌های حفاظتی که در کنار هم، نفوذ را برای مهاجم دشوارتر می‌کنند. سپس، راهکارهایی را از اقدامات پایه تا گزینه‌ها پیشرفته مرور می‌کنیم:

این اقدامات پایه‌ای‌ترین و ضروری‌ترین لایه‌های دفاعی هستند که هر یوزری باید انجام دهد.

۱. تغییر فوری رمزهای عبور پیش‌فرض

بلافاصله پس از شروع کردن روتر، نام یوزری و پسورد پنل کنترل را تغییر دهید. از پسوردی با دست‌کم ۱۲ کاراکتر و ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها استفاده کنید. پسورد وای‌فای را نیز با اصول مشابه تقویت کنید.

۲. به‌روزرسانی منظم فریم‌ور (Firmware)

هر چند ماه یک‌بار به وب‌سایت رسمی سازنده‌ی روتر سر بزنید و در صورت وجود، ورژن‌ی جدید فریم‌ور را شروع کردن کردن کنید.

۳. استفاده از قانون ارتباط رمزنگاری قوی (WPA2/WPA3)

اطمینان حاصل کنید که شبکه‌ی وای‌فای شما از جدیدترین قانون ارتباط‌های رمزنگاری مانند WPA3 یا حداقل WPA2 بهره می‌برد و تحت هیچ شرایطی سراغ قانون ارتباط‌های قدیمی و ناامن WEP یا WPA نروید. نیز می‌توانید با برنامه‌هایی ایمن بودن شبکه‌ی WiFi را بررسی کردن کنید.

۴. غیرفعال کردن WPS

این قابلیت یک حفره‌ی ایمنیی بزرگ است. آن را با پنل کنترل، در گزینه‌ها وای‌فای یا بخش WPS غیرفعال کنید.

۵. ایمنی فیزیکی

روتر خود را در مکانی امن قرار دهید تا از اجازه دسترسی فیزیکی افراد غیرمجاز و دستکاری آن جلوگیری شود.

پس از انجام مراحل حیاتی، این گزینه‌ها لایه‌های ایمنیی بیشتری را به شبکه‌ی شما اضافه می‌کنند.

۶. غیرفعال کردن UPnP

این قابلیت می‌تواند به یک در پشتی برای بدافزارها تبدیل شود. گزینه‌ی UPnP را در بخش گزینه‌ها پیشرفته (Advanced) یا NAT Forwarding پیدا و آن را غیرفعال کنید. (توجه: غیرفعال کردن این ویژگی ممکن است در وصل شدن برخی بازی‌های آنلاین اختلال ایجاد کند).

۷. غیرفعال کردن کنترل از راه دور

اجازه دسترسی کنترل از راه دور (Remote Administration) را غیرفعال کنید تا امکان لاگین به پنل گزینه‌ها با اینترنت مسدود شود.

۸. ایجاد شبکه‌ی مهمان

اگر روتر شما از قابلیت شبکه‌ی مهمان (Guest Network) کمک می‌کند، آن را برای دستگاه‌های مهمانان فعال کنید. حتماً گزینه‌ای مانند Allow guests to access local network را غیرفعال کنید تا اجازه دسترسی آن‌ها به سایر دستگاه‌های شما مسدود شود.

۹. تغییر DNS پیش‌فرض به خدمت‌های امن

گزینه‌ها DNS روتر را به ارائه‌دهندگان امنی مانند کلودفلر (۱٫۱٫۱٫۱) یا گوگل (۸٫۸٫۸٫۸) تغییر دهید. این کار ضمن افزایش حریم خصوصی، احتمال ربایش DNS را کاهش می‌دهد. پیش‌تر درباره‌ی اینکه DNS چیست صحبت کرده‌ایم.

۱۰. فیلتر کردن آدرس MAC

هر دستگاه متصل به شبکه یک شناسه‌ی سخت‌افزاری منحصربه‌فرد به نام آدرس MAC دارد. قابلیت فیلتر کردن به شما امکان می‌دهد فهرستی از آدرس‌های MAC مجاز برای وصل شدن به شبکه تعریف کنید. اگرچه هکرهای حرفه‌ای می‌توانند این محدودیت را دور بزنند، اما همین روش مانعی مؤثر برای نفوذگران مبتدی است.

۱۱. پنهان کردن نام شبکه (SSID)

نام عمومی شبکه‌ی وای‌فای شما SSID (Service Set Identifier) نام دارد. می‌توانید پخش این نام را غیرفعال کنید تا در فهرست شبکه‌های اطراف نشان دادن داده نشود. اگرچه این کار ایمنی کامل ایجاد نمی‌کند، اما یک لایه‌ی حفاظتی ساده برای پنهان ماندن از دید اولیه است.

ایمنی مودم‌ها و روترها اغلب نادیده گرفته می‌شود؛ درحالی‌که این دستگاه‌ها دروازه‌ای حیاتی در فضای دیجیتال به‌شمار می‌روند و بی‌توجهی به آن‌ها، به پاشنه‌ی آشیل ایمنی تبدیل می‌شود. خوشبختانه با رعایت مجموعه‌ای از اقدامات ساده و هوشمندانه، می‌توان سطح ایمنی شبکه را به‌طور چشمگیری ارتقاء داد.

اگر شما نیز راهکار‌های دیگری برای ارتقای ایمنی شبکه‌های خانگی خود و حفظ ایمنی و حریم خصوصی در دنیای دیجیتال دارید، آن را با ما به اشتراک بگذارید.