АйТи Фреш
Главная / Статьи / Сети
Сети

Обновление прошивок роутеров и свитчей: забытая дыра в безопасности офиса

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-11
Обновление прошивок роутеров и свитчей: забытая дыра в безопасности офиса

За пятнадцать лет в IT-аутсорсинге я видел десятки офисов, где сервер обновляют по расписанию, антивирус продлевают за неделю до истечения лицензии, а роутер в углу серверной работает на прошивке 2019 года. Никто его не трогает. Он же работает — зачем лезть? А зря. Расскажу, почему так происходит и чем это оборачивается на практике.

Сервер патчат, роутер — нет. Почему так вышло

У сервера есть хозяин. Обычно это Windows Server с 1С, и системный администратор прекрасно знает: не поставишь обновления безопасности — рано или поздно прилетит шифровальщик, и виноват будешь ты. Есть регламент, есть Windows Update, есть Veeam для бэкапов на всякий случай. Всё под контролем, всё логично.

А теперь спросите любого айтишника в небольшой компании: когда последний раз обновлялась прошивка на роутере или на свитчах в стойке? В девяти случаях из десяти повисает пауза. Потом честный ответ: не знаю, наверное, никогда после установки.

Дело не в лени. Дело в том, что сетевое железо воспринимается как утварь — вроде розетки или кондиционера. Работает — и хорошо. А это, между прочим, полноценный компьютер со своей операционной системой, портами и уязвимостями, только без антивируса и без человека, который за него отвечает.

Роутер — это не коробка с проводами, а маленький сервер

Внутри любого более-менее серьёзного роутера или управляемого свитча — своя ОС, чаще всего на базе Linux, свой веб-интерфейс администрирования, свой SSH, часто ещё и SNMP для мониторинга. Всё это написано людьми, а значит, там есть баги. Разница с обычным сервером ровно одна: производитель выпускает патчи не каждую неделю, а раз в полгода-год, а то и реже.

У меня был клиент — бухгалтерская компания на 18 рабочих мест. Роутер Mikrotik стоял с 2020 года, прошивка не обновлялась вообще. При аудите нашли включённый Winbox наружу и версию RouterOS с известной уязвимостью, для которой в открытом доступе давно лежит рабочий эксплойт. То есть теоретически зайти в их сеть мог кто угодно, кто просто просканировал диапазон IP и наткнулся на открытый порт 8291.

И это не экзотика. Shodan — поисковик по устройствам, торчащим в интернет, — ежедневно индексирует сотни тысяч роутеров и свитчей с открытыми панелями администрирования. Найти уязвимый девайс — вопрос не хакерского мастерства, а десяти минут автоматического сканирования.

Что реально случается, если прошивку не трогать годами

Самый известный пример — ботнет Mirai, который заражал именно роутеры и IoT-устройства с дефолтными паролями и старыми прошивками, а потом использовал их для DDoS-атак. Владельцы этих роутеров зачастую даже не подозревали, что их железо участвует в атаке на чужую инфраструктуру — трафик-то небольшой, заметить сложно.

Был ещё VPNFilter — вредонос, который заразил более полумиллиона роутеров по всему миру, включая устройства известных вендоров, и умел перехватывать трафик, красть учётные данные и даже необратимо выводить устройство из строя командой на уничтожение прошивки. ФБР в 2018 году официально рекомендовало всем перезагрузить домашние и офисные роутеры именно из-за этой истории.

В моей практике был случай попроще, но неприятнее для конкретной компании: у клиента — производство, около 40 рабочих мест — через непропатченный свитч с уязвимой прошивкой злоумышленник получил доступ к VLAN, где крутился 1С-сервер с базой зарплаты и КриптоПро для отчётности в налоговую. Хорошо, что дело ограничилось разведкой и подбором паролей к RDP, а не шифрованием. Но два дня расследования, смена всех паролей и полная перенастройка VLAN влетели дороже, чем десять лет регулярных апдейтов прошивки.

Почему сеть трогать боятся больше, чем сервер

Здесь есть рациональное зерно, я не буду его отрицать. Обновление прошивки на боевом роутере или свитче — штука рискованная. Если сервер после неудачного апдейта можно откатить на снапшоте из Veeam за десять минут, то с роутером всё сложнее: неудачное обновление способно положить всю сеть офиса разом, включая доступ в интернет, телефонию и RDP для удалённых сотрудников.

Плюс психология: сервер стоит в серверной, его видно, его боятся не обновить. А роутер спрятан за шкафом или вообще в потолке, о нём вспоминают только когда пропадает интернет. Нет визуального контакта — нет и тревоги.

Добавьте сюда ещё одну вещь: у многих провайдерских роутеров и дешёвых свитчей обновление прошивки требует физического присутствия рядом с устройством или временного отключения сети на 15-20 минут. В рабочий день это лишняя головная боль, вот и откладывают на потом. А потом становится годами.

Кто вообще должен за это отвечать

Вот честный ответ из практики: чаще всего — никто. Сервер и рабочие станции обслуживает штатный айтишник или аутсорсер вроде нас, а сетевое оборудование ставил когда-то подрядчик при монтаже офиса, получил оплату и уехал. Документации по железу нет, паролей от админки часто тоже нет — их благополучно забыли вместе с ушедшим сотрудником.

Мы в «АйТи-Фреш» при аудите новых клиентов первым делом спрашиваем: покажите список сетевого оборудования и когда последний раз обновлялась прошивка на каждой единице. В восьми случаях из десяти в ответ — тишина или растерянное "надо посмотреть". Это не упрёк, это просто данность рынка: сети строят один раз и забывают.

Отсюда правило, которое я всегда транслирую клиентам: сетевое оборудование должно быть в том же регламенте обслуживания, что и серверы. Не отдельной строкой "если будет время", а полноценным пунктом с датой последнего апдейта и ответственным человеком.

Как обновлять прошивки, не убив сеть офиса

Первое — инвентаризация. Пройдитесь по офису и составьте список: сколько роутеров, свитчей, точек доступа, у кого какая модель и версия прошивки. Звучит банально, но у меня практически не бывает клиентов, у которых этот список актуален. Обычно приходится физически идти и смотреть шильдики на устройствах.

Второе — окно обновлений. Прошивку на боевом оборудовании нельзя обновлять в рабочий день в 14:00. Мы для клиентов планируем такие работы либо рано утром, либо вечером после закрытия офиса, с предупреждением сотрудников за день. Обязательно делаем бэкап текущей конфигурации перед апдейтом — у большинства управляемых свитчей и роутеров это функция "экспорт конфигурации" в пару кликов, и пренебрегать ей просто глупо.

Третье — не обновляйте всё и сразу. Если в офисе несколько одинаковых свитчей, обновите сначала один, проверьте, что всё стабильно работает хотя бы сутки, и только потом катите на остальные. Это касается и Wi-Fi роутеров: одна неудачная прошивка, залитая одновременно на все точки доступа, оставит без связи весь этаж.

Что сделать прямо сейчас, если руки до этого не доходили

Не нужно устраивать революцию за один вечер. Начните с малого: зайдите в веб-интерфейс основного роутера и посмотрите версию прошивки и дату её выпуска. Если версия старше двух лет — это уже повод насторожиться, особенно если устройство смотрит наружу в интернет.

Проверьте, не открыт ли доступ к панели администрирования из внешней сети — это частая находка при аудитах, и закрывается за пять минут, но экономит потом кучу нервов. Заодно смените дефолтные пароли, если они ещё стоят — да, это до сих пор случается даже в компаниях с сотней рабочих мест.

И главное — включите сетевое оборудование в тот же цикл обслуживания, что и серверы с Windows Server и 1С. Раз в квартал проверка обновлений — не так много времени, зато закрывает дыру, которая обычно остаётся открытой годами именно потому, что про неё все забывают.

Частые вопросы

Как часто нужно обновлять прошивку роутеров и свитчей?
Проверять наличие обновлений безопасности стоит минимум раз в квартал, а критические патчи — ставить сразу после выхода, особенно если устройство доступно из интернета. Плановые функциональные обновления можно откладывать до ближайшего технического окна, но security-патчи ждать не должны.

Что делать, если после обновления сеть перестала работать?
Именно поэтому перед апдейтом обязательно делают экспорт текущей конфигурации — большинство устройств позволяют откатиться на предыдущую прошивку за пару минут через тот же веб-интерфейс. Держите под рукой и физический доступ к устройству через консольный порт на случай, если веб-интерфейс станет недоступен.

Нужен ли отдельный сотрудник, который будет следить только за сетевым оборудованием?
В компании до 50 рабочих мест отдельная штатная единица под это не нужна — достаточно включить сетевое железо в зону ответственности того же администратора или аутсорсера, который обслуживает серверы, и прописать это явно в регламенте, а не оставлять на усмотрение.

Как понять, что оборудование давно не обновлялось, если документации нет?
Зайдите в веб-интерфейс устройства — там обычно указана версия прошивки и иногда дата сборки. Сверьте с сайтом производителя: если текущая версия старше двух-трёх лет, это уже сигнал провести полноценный аудит сетевой инфраструктуры.

Проверьте прошивки своего сетевого оборудования, пока это не сделал кто-то другой
«АйТи-Фреш» проведёт бесплатный аудит сетевой инфраструктуры офиса и покажет, где именно у вас открыта дверь.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи