Routered a leggyengébb láncszem: DNS-eltérítés a lakás- és kisirodai hálózatokban

Belegondoltál már, hogy a routered csendben figyel rád? Ott lapul a sarokban, villog néha, és azt hiszed, minden rendben. Pedig ez a kis szerkezet gyakran a hálózat legsebezhetőbb pontja.

A lakás- és kisirodai routerek sötét oldala

A SOHO hálózatok – azaz a kis irodák és otthoni setupok – egyre vonzóbbak a támadóknak. Nincs itt IT-csapat, ami figyeli a forgalmat. Ehelyett gyári beállítások, régi firmware és elfelejtett jelszavak uralkodnak. Tökéletes terep a bajnak.

Ha feltörik a routeredet, nem csak a WiFi-dé válnak uraivá. Közéjük furakszanak: te és az egész internet között.

DNS-eltérítés: a támadók kedvence

A DNS az internetes címkönyv. Beírod a gmail.com-ot, a géped megkérdezi: "hol találom ezt?". A router továbbítja a kérést az ISP DNS-szervereire vagy nyilvános megoldásokra, mint a Google 8.8.8.8.

De ha a támadó kezében van a router, átirányíthatja a kéréseket. A bankod helyett egy hamis oldalt kapsz, amit ők irányítanak. Ez nem sci-fi – ez most is történik ezrekkel, akik semmit sem sejtenek a megfigyelésről.

A támadólánc lépései

DNS-eltérítéssel a támadó mindenhol ott van közted és a szolgáltatások között:

Jelszógyűjtés: Hamis bejelentkezők lopják el az emailjeidet, jelszavaidat, még a 2FA-kódokat is.

Pénzlopás: Banki oldalakat klónoznak tökéletesen. Te nem veszed észre a csalást.

Szoftverfrissítés-csalás: Legitim appok update-jeit恶意 verzióra cserélik.

Folyamatos kémkedés: Minden oldal, email és API-hívás látható számukra.

Miért veszélyesek a SOHO hálózatok?

A nagyvállalatoknál van SOC, ami mindent figyel. Otthon? Egy 2019-es "admin123" jelszó. Íme a tipikus gyengeségek:

• Gyári jelszavak: Soha nem változtatod meg.
• Régi firmware: Frissítések elérhetőek, de nem telepíted.
• Gyenge titkosítás: WPA2 helyett WPA vagy semmi.
• Nincs monitorozás: Nem látod, ha a DNS-edet átírták.
• Fizikai hozzáférés: Bármikor resetelhetik vagy megközelíthetik.

Védd meg a hálózatodat: gyakorlati lépések

Félsz, hogy baj van? Csináld meg ezeket most:

1. Cseréld a router jelszavát (ma!)

Lépj be az admin felületre, állíts be erős, egyedi usert és jelszót. Ez alap.

2. Frissítsd a firmware-t

Nézd meg a gyártó oldalát. Kapcsold be az auto-update-et, ha van. Itt laknak a biztonsági javítások.

3. WPA3 titkosítás

Ha támogatja, kapcsold be. WPA2 még oké, WPA ne legyen. Változtasd a WiFi-jelszót is.

4. Biztonságos DNS

Dobj el az ISP DNS-ét. Próbáld ezeket:

• Cloudflare 1.1.1.1 (adatvédelemre fókuszál)
• Quad9 9.9.9.9 (malware-blokkoló)
• Google 8.8.8.8 (megbízható)

Állítsd be routeren és gépeken is.

5. DoH vagy DoT

DNS-over-HTTPS vagy DNS-over-TLS titkosítja a lekérdezéseket. Még ISP sem látja, mit nézel. Routerfeltörés sem segít.

6. Nézd a logokat

Az admin panelben keresd a naplót. Ellenőrizd rendszeresen furcsa belépéseket vagy változásokat.

7. Kapcsold ki az UPnP-t

Kényelmes, de malware-ajánlatos. Csak ha gaminghez kell, hagyd bekapcsolva.

8. Vendég hálózat

Látogatóknak és okos cuccoknak külön hálózat, ami nem fér a főhöz.

Fejlesztői szemszög: építs biztonságosan

Appokat írsz SOHO-kba? Tudjuk: a userek routerei hamarosan feltört lesznek.

Így védekezz:

• Mindig HTTPS: Sose bízz titkosítatlan forgalomban.
• Cert pinning: Nehézítsd meg a hamis cert-eket.
• Többlépcsős auth: Ne csak jelszóra építs.
• Figyeld a furcsaságokat: Új helyről login? Jelöld.
• Kliens-oldali titkosítás: Adatok titkosítása még a hálózat előtt.

A teljes kép

A routerfeltörés nem új, de okosodik. Támadók szkennelnek, zero-day-eket használnak, álcázzák magukat, kitartanak frissítések után is, lassan lopnak.

Macska-egér játék, az egér vezet.

Hogyan tovább?

Biztonság nem once-and-done. Routerednek kell:

• Havi ellenőrzés: Beállítások, logok.
• Negyedéves frissítés: Naptár-figyelmeztetés.
• Éves jelszóváltás: Forgass.
• Éves hardver-check: Még kap frissítést? Ha nem, cseréld.

5+ éves router? Vegyél újat (10-50 ezer forint). Olcsóbb, mint a lopott identité vagy kripto.

A hálózatod védelme a legkézenfekvőbb eszközön kezdődik. Idő változtatni.