Как настроить роутер, чтобы блокировать загрузку подозрительных файлов по FTP

Как настроить роутер, чтобы блокировать загрузку подозрительных файлов по FTP

Если вы заметили, что в вашей сети внезапно появляются странные файлы — .exe, .bat, .js, или что-то с подозрительными именами вроде “update_789.zip” — скорее всего, кто-то или что-то использует FTP-соединение, чтобы закачать вредоносное ПО. Это не редкость. Особенно если у вас есть домашние устройства, которые подключены к интернету: камеры, NAS, смарт-телевизоры, или просто старый компьютер, который всё ещё используется как «файл-сервер».

Роутер — это ваша первая и главная защита. Он не просто даёт доступ в интернет — он может и должен блокировать опасные действия до того, как они дойдут до ваших устройств. Настроить его на блокировку подозрительных FTP-загрузок — не сложнее, чем изменить пароль от Wi-Fi. Но многие делают это неправильно. Или вообще не делают.

Почему именно FTP?

FTP (File Transfer Protocol) — старый, но до сих пор используемый протокол для передачи файлов. Он не шифрует данные. Пароли, имена файлов, содержимое — всё идёт открытым текстом. Это делает его идеальным инструментом для злоумышленников: если кто-то взломал устройство в вашей сети (например, камеру с устаревшей прошивкой), он может использовать FTP, чтобы закачать вредоносный скрипт на другой компьютер, или загрузить туда бэкдор.

Вот реальный пример: у человека в доме стоит старый NAS с FTP-сервером, включённым по умолчанию. Пароль — «admin». Хакер сканирует интернет, находит этот NAS, заходит, загружает туда файл update.exe — и через пару минут этот файл начинает распространяться по другим устройствам в сети. Все они уже подключены к одному роутеру. И если роутер не блокирует FTP-трафик по подозрительным файлам — вы не узнаете, пока не начнёт тормозить интернет или не появится окно с требованием выкупа.

Что именно нужно блокировать?

Не весь FTP. Нет смысла блокировать загрузку PDF-файлов или документов. Проблема — в исполняемых файлах и скриптах. Вот что стоит блокировать:

  • .exe — исполняемые файлы Windows
  • .bat, .cmd — скрипты оболочки
  • .js, .vbs — скрипты, которые могут запускать вредоносный код
  • .dll — динамические библиотеки, часто используются для внедрения в процессы
  • .ps1 — PowerShell-скрипты (очень популярны у современных вирусов)
  • .zip, .rar — архивы, если внутри них есть вышеуказанные расширения (это сложнее, но можно частично решить)

Запомните: если вы не загружаете программы по FTP — вы не должны их получать. Ни от кого. Ни в каком виде.

Как настроить роутер: пошаговая инструкция

Все роутеры немного отличаются, но логика одинаковая. Вот как это сделать в большинстве случаев.

  1. Зайдите в интерфейс роутера. Откройте браузер, введите в адресную строку IP-адрес роутера — обычно это 192.168.1.1 или 192.168.0.1. Логин и пароль — те же, что и для Wi-Fi, или написаны на наклейке на корпусе. Если не помните — сбросьте роутер кнопкой Reset (но потом настройте всё заново).
  2. Найдите раздел «Безопасность» или «Фильтрация». У разных брендов он называется по-разному: «Firewall», «Parental Controls», «Access Control», «Content Filtering». Ищите что-то про «блокировку по типу файла» или «фильтрацию трафика».
  3. Включите фильтрацию FTP-трафика. Если есть опция «Фильтрация по протоколу» — выберите FTP. Некоторые роутеры позволяют фильтровать только по портам — FTP работает на портах 21 (управление) и 20 (данные). Убедитесь, что фильтр применяется именно к FTP, а не ко всему трафику.
  4. Добавьте список запрещённых расширений. Здесь самое важное. В поле «Запрещённые расширения файлов» введите: .exe,.bat,.cmd,.js,.vbs,.dll,.ps1. Разделители — запятые, без пробелов. Некоторые роутеры требуют точек в начале, другие — нет. Попробуйте оба варианта, если не работает.
  5. Установите действие: «Блокировать». Не «предупреждать» — именно «блокировать». Иначе вредоносный файл просто попадёт в лог, а вы его не заметите.
  6. Примените настройки и перезагрузите роутер. После этого проверьте, что фильтр включён — в некоторых роутерах он отключается после перезагрузки, если не сохранён.

Если в вашем роутере нет такой функции — не расстраивайтесь. Есть обходные пути. Они чуть сложнее, но работают.

Что делать, если в роутере нет фильтра по расширениям файлов?

Многие бюджетные роутеры (TP-Link, D-Link, ASUS с базовой прошивкой) не умеют блокировать файлы по расширению. Но есть два рабочих варианта:

Метод Как работает Плюсы Минусы
Блокировка портов FTP (21, 20) Отключает весь FTP-трафик в обе стороны Просто, надёжно, работает на любом роутере Блокирует и легитимный FTP — если у вас есть домашний сервер, он перестанет работать
Фильтрация по URL-адресам FTP-серверов Блокируются известные вредоносные FTP-хосты (например, ftp://malware-site[.]com) Не трогает легитимный FTP Работает только против известных сайтов. Новые серверы не блокируются
Установка сторонней прошивки (DD-WRT, OpenWrt) Заменяет родную прошивку на более гибкую Полный контроль: можно блокировать по расширениям, типам файлов, даже по содержимому Требует технических навыков. Может «убить» роутер, если сделать ошибку

Если вы не технарь — выбирайте первый вариант: заблокируйте порты 20 и 21. Это не идеально, но если у вас нет FTP-сервера дома — вы ничего не потеряете. А риск заражения снизится на 90%.

Когда блокировать FTP полностью — а когда оставить?

Не все роутеры позволяют фильтровать файлы по расширениям. И не всем нужно это делать. Вот когда вы можете оставить FTP включённым:

  • У вас есть локальный FTP-сервер (например, NAS) и вы используете его только внутри сети — без доступа из интернета.
  • Вы регулярно загружаете файлы с внешнего FTP-сервера (например, с архива компании), и вы точно знаете, что это безопасно.
  • У вас есть отдельный VLAN или изолированная сеть для FTP-устройств.

А вот когда FTP нужно блокировать полностью:

  • Вы не используете FTP вообще — ни для чего.
  • В вашей сети есть IoT-устройства (камеры, принтеры, умные розетки) — они часто уязвимы.
  • Вы заметили подозрительные попытки подключения к FTP в логах роутера.
  • У вас есть дети или пожилые родственники, которые могут случайно открыть вредоносный файл.

Если вы не уверены — лучше заблокировать. Это как поставить замок на дверь, даже если вы думаете, что «никто не полезет». Потому что кто-то может.

Частые ошибки, которые всё портят

Многие настраивают фильтр, но ничего не меняется. Вот почему:

  1. Забыли перезагрузить роутер. Некоторые настройки применяются только после перезагрузки. Не ждите, что изменения вступят в силу сразу.
  2. Писали расширения с пробелами. Например: .exe , .bat — это не сработает. Только .exe,.bat.
  3. Блокировали только входящий FTP, а забыли про исходящий. Вредоносное ПО может не загружать файлы — а выгружать их на сервер злоумышленника. Блокируйте оба направления.
  4. Полагались только на антивирус. Антивирус на компьютере не видит, что файл загружается через FTP — он срабатывает только после того, как файл уже скачан. Роутер останавливает это на этапе передачи — до того, как файл попадёт на устройство.
  5. Использовали «разрешить только определённые IP». Это не работает. Хакеры используют динамические IP, резервные серверы, прокси. Вы не сможете вручную заблокировать все.

Как лучше сделать: практические рекомендации

Вот что реально работает, если вы хотите защититься без лишних сложностей:

  • Проверьте, включён ли FTP в вашей сети. Зайдите на любой компьютер, откройте командную строку и введите: netstat -an | find "21". Если есть подключения — FTP работает. Если нет — вы можете его спокойно заблокировать.
  • Отключите FTP на всех устройствах. На NAS, камерах, принтерах — найдите настройки FTP и выключите его. Если устройство не требует FTP — оно его не должно использовать.
  • Используйте SFTP или FTPS вместо FTP. Если вам действительно нужен FTP — переходите на зашифрованные версии. Они работают на порту 22 (SFTP) и не передают пароли открытым текстом. Но даже они не защищают от вредоносных файлов — просто делают взлом сложнее.
  • Создайте отдельную сеть для IoT-устройств. Если ваш роутер поддерживает гостевую сеть — подключите камеры, принтеры и умные лампочки туда. Это изолирует их от основной сети. Даже если они заражены — вредоносный файл не попадёт на ваш ноутбук.
  • Проверяйте логи роутера раз в неделю. Там часто пишутся попытки подключения к FTP. Если видите IP из Китая, России или Украины — и это не вы — это повод для тревоги.

Что выбрать, если у вас разная ситуация?

Ситуация 1: Вы — обычный пользователь, у вас есть Wi-Fi, но нет серверов.
→ Заблокируйте порты 20 и 21 в настройках роутера. Это займёт 3 минуты. Не нужно ничего другого.

Ситуация 2: У вас есть NAS, и вы используете FTP для резервного копирования.
→ Отключите FTP из интернета. Оставьте его только в локальной сети. В настройках роутера найдите «Фильтрация по IP» — разрешите доступ к FTP только с IP вашего компьютера (например, 192.168.1.10). Всё остальное — блокировать.

Ситуация 3: Вы технически подкованы и хотите максимальную защиту.
→ Установите DD-WRT или OpenWrt. Настройте фильтрацию по расширениям файлов + блокировку FTP-трафика из интернета. Добавьте правило, блокирующее загрузку файлов больше 10 МБ — большинство вредоносных скриптов меньше, а архивы с вирусами — часто больше.

Ситуация 4: У вас старый роутер 2015 года, и он вообще не умеет ничего.
→ Купите новый. За 2000–3000 рублей вы получите роутер с современной защитой: фильтрация по типам файлов, блокировка вредоносных доменов, родительский контроль. Это дешевле, чем восстанавливать систему после заражения.

Итог: что делать прямо сейчас

Вы не обязаны быть экспертом, чтобы защитить свою сеть от FTP-атак. Вот ваш чек-лист на сегодня:

  1. Зайдите в настройки роутера.
  2. Найдите раздел «Безопасность» или «Фильтрация».
  3. Если есть возможность — заблокируйте файлы с расширениями: .exe,.bat,.cmd,.js,.vbs,.dll,.ps1 по протоколу FTP.
  4. Если такой опции нет — заблокируйте порты 20 и 21.
  5. Перезагрузите роутер.
  6. Проверьте, что FTP выключен на всех устройствах в доме (камеры, NAS, принтеры).
  7. Через неделю — зайдите в логи роутера и посмотрите, остались ли попытки подключения к FTP.

Это не сложнее, чем сменить пароль от Wi-Fi. Но это на порядок важнее. Потому что пароль от Wi-Fi можно взломать — а вредоносный файл, загруженный через FTP, может украсть ваши данные, зашифровать файлы или превратить ваш компьютер в часть ботнета.

Вы не защищаете «сеть». Вы защищаете свои фотографии, документы, аккаунты, деньги. И это стоит 10 минут вашего времени.

Информация в этой статье носит ознакомительный характер. Настройка роутера может отличаться в зависимости от модели и производителя. Если вы не уверены в действиях — обратитесь к специалисту по сетевой безопасности.

Оцените статью
PEFile — Безопасность и технологии простым языком