Zabezpiecz swój router bezprzewodowy
- Kategoria: Sieć
Nie ma czegoś takiego jak doskonałe bezpieczeństwo. Przy wystarczającej wiedzy, zasobach i czasie każdy system może zostać naruszony. Najlepsze, co możesz zrobić, to maksymalnie utrudnić atakującemu. To powiedziawszy, istnieją kroki, które możesz podjąć, aby zabezpieczyć swoją sieć przed zdecydowaną większością ataków.
Domyślne konfiguracje routerów klasy konsumenckiej zapewniają dość podstawowe zabezpieczenia. Szczerze mówiąc, nie trzeba wiele, aby ich skompromitować. Kiedy instaluję nowy router (lub resetuję istniejący), rzadko korzystam z „kreatorów konfiguracji”. Przeglądam i konfiguruję wszystko dokładnie tak, jak chcę. O ile nie ma dobrego powodu, zwykle nie zostawiam tego jako domyślnego.
Nie mogę podać dokładnych ustawień, które należy zmienić. Strona administratora każdego routera jest inna; nawet router od tego samego producenta. W zależności od konkretnego routera mogą istnieć ustawienia, których nie można zmienić. W przypadku wielu z tych ustawień będziesz musiał uzyskać dostęp do sekcji zaawansowanej konfiguracji na stronie administratora.
Wskazówka : możesz użyć Aplikacja RouterCheck na Androida, aby przetestować bezpieczeństwo routera .
Dołączyłem zrzuty ekranu przedstawiające Asus RT-AC66U. Jest w stanie domyślnym.
Zaktualizuj oprogramowanie układowe. Większość ludzi aktualizuje oprogramowanie sprzętowe podczas pierwszej instalacji routera, a następnie zostawia je w spokoju. Ostatnie badania wykazały, że 80% z 25 najlepiej sprzedających się modeli routerów bezprzewodowych ma luki w zabezpieczeniach. Producenci, których dotyczy problem, to: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet i inni. Większość producentów wydaje zaktualizowane oprogramowanie układowe, gdy ujawnią się luki. Ustaw przypomnienie w Outlooku lub innym używanym systemie poczty e-mail. Zalecam sprawdzanie aktualizacji co 3 miesiące. Wiem, że brzmi to bez zastanowienia, ale instaluj oprogramowanie układowe tylko ze strony producenta.
Wyłącz także możliwość automatycznego sprawdzania aktualizacji przez router. Nie jestem fanem pozwalania urządzeniom „dzwonić do domu”. Nie masz kontroli nad datą wysłania. Na przykład, czy wiesz, że kilka tak zwanych „telewizorów Smart TV” przesyła informacje z powrotem do swoich producentów? Wysyłają wszystkie twoje nawyki oglądania za każdym razem, gdy zmieniasz kanał. Jeśli podłączysz do nich dysk USB, wyślą listę wszystkich nazw plików na dysku. Te dane są niezaszyfrowane i są wysyłane, nawet jeśli ustawienie menu jest ustawione na NIE.
Wyłącz administrację zdalną. Rozumiem, że niektórzy ludzie muszą mieć możliwość zdalnej rekonfiguracji sieci. Jeśli musisz, przynajmniej włącz dostęp https i zmień domyślny port. Pamiętaj, że obejmuje to wszelkiego rodzaju zarządzanie w chmurze, takie jak konto Smart WiFi firmy Linksys i AiCloud firmy Asus.
Użyj silnego hasła dla administratora routera. Wystarczająco powiedziane. Domyślne hasła dla routerów są powszechnie znane i nie chcesz, aby ktokolwiek po prostu próbował użyć domyślnej przepustki i dostać się do routera.
Włącz HTTPS dla wszystkich połączeń administracyjnych. Jest to domyślnie wyłączone na wielu routerach.
Ogranicz ruch przychodzący. Wiem, że to zdrowy rozsądek, ale czasami ludzie nie rozumieją konsekwencji pewnych ustawień. Jeśli musisz używać przekierowania portów, bądź bardzo selektywny. Jeśli to możliwe, użyj niestandardowego portu dla konfigurowanej usługi. Istnieją również ustawienia filtrowania anonimowego ruchu internetowego (tak) i odpowiedzi na ping (nie).
Użyj szyfrowania WPA2 dla Wi-Fi. Nigdy nie używaj WEP. Można go zepsuć w ciągu kilku minut dzięki oprogramowaniu ogólnie dostępnemu w Internecie. WPA nie jest dużo lepsze.
Wyłącz WPS (WiFi Protected Setup) . Rozumiem wygodę korzystania z WPS, ale to był zły pomysł, aby zacząć.
Ogranicz ruch wychodzący. Jak wspomniano powyżej, zwykle nie lubię urządzeń, które telefonują do domu. Jeśli masz tego typu urządzenia, rozważ zablokowanie z nich całego ruchu internetowego.
Wyłącz nieużywane usługi sieciowe, zwłaszcza uPnP. Podczas korzystania z usługi uPnP występuje powszechnie znana luka w zabezpieczeniach. Inne usługi prawdopodobnie niepotrzebne: Telnet, FTP, SMB (Samba / udostępnianie plików), TFTP, IPv6
Po zakończeniu wyloguj się ze strony administratora . Samo zamknięcie strony internetowej bez wylogowania się może pozostawić otwartą uwierzytelnioną sesję w routerze.
Sprawdź lukę w zabezpieczeniach portu 32764 . O ile mi wiadomo, problem dotyczy niektórych routerów produkowanych przez Linksys (Cisco), Netgear i Diamond, ale mogą istnieć inne. Zostało wydane nowsze oprogramowanie sprzętowe, ale może nie być w pełni poprawione w systemie.
Sprawdź swój router pod adresem: https://www.grc.com/x/portprobe=32764
Włącz logowanie . Regularnie szukaj podejrzanej aktywności w swoich dziennikach. Większość routerów ma możliwość wysyłania dzienników pocztą elektroniczną w określonych odstępach czasu. Upewnij się również, że zegar i strefa czasowa są ustawione poprawnie, aby dzienniki były dokładne.
Dla prawdziwie świadomych bezpieczeństwa (a może po prostu paranoików) następujące dodatkowe kroki do rozważenia
Zmień nazwę użytkownika administratora . Wszyscy wiedzą, że domyślnym ustawieniem jest zwykle admin.
Skonfiguruj sieć „Gość” . Wiele nowszych routerów jest w stanie tworzyć oddzielne bezprzewodowe sieci dla gości. Upewnij się, że ma dostęp tylko do Internetu, a nie do sieci LAN (intranet). Oczywiście użyj tej samej metody szyfrowania (WPA2-Personal) z innym hasłem.
Nie podłączaj pamięci USB do routera . To automatycznie włącza wiele usług na routerze i może ujawnić zawartość tego dysku w Internecie.
Użyj alternatywnego dostawcy DNS . Prawdopodobnie używasz dowolnych ustawień DNS, które dostałeś od dostawcy Internetu. DNS coraz częściej staje się celem ataków. Istnieją dostawcy DNS, którzy podjęli dodatkowe kroki w celu zabezpieczenia swoich serwerów. Jako dodatkowy bonus, inny dostawca DNS może zwiększyć wydajność Internetu.
Zmień domyślny zakres adresów IP w sieci LAN (wewnętrznej) . Każdy router klasy konsumenckiej, jaki widziałem, używa 192.168.1.x lub 192.168.0.x, co ułatwia skryptowanie automatycznego ataku.
Dostępne zakresy to:
Dowolne 10.x.x.x
Dowolny 192.168.x.x
172.16.x.x do 172.31.x.x
Zmień domyślny adres LAN routera . Jeśli ktoś uzyska dostęp do Twojej sieci LAN, wie, że adres IP routera to x.x.x.1 lub x.x.x.254; nie ułatwiajcie im tego.
Wyłącz lub ogranicz DHCP . Wyłączanie DHCP zwykle nie jest praktyczne, chyba że znajdujesz się w bardzo statycznym środowisku sieciowym. Wolę ograniczyć DHCP do 10-20 adresów IP zaczynających się od x.x.x.101; ułatwia to śledzenie tego, co dzieje się w Twojej sieci. Wolę umieścić moje „stałe” urządzenia (komputery stacjonarne, drukarki, NAS itp.) Na statycznych adresach IP. W ten sposób tylko laptopy, tablety, telefony i goście używają DHCP.
Wyłącz dostęp administratora z sieci bezprzewodowej . Ta funkcja nie jest dostępna we wszystkich routerach domowych.
Wyłącz rozgłaszanie SSID . Dla profesjonalisty nie jest to trudne do pokonania i może sprawić, że zezwolenie odwiedzającym na Twoją sieć WiFi będzie uciążliwe.
Użyj filtrowania adresów MAC . Tak samo jak powyżej; niewygodne dla gości.
Niektóre z tych pozycji należą do kategorii „Security by Obscurity” i jest wielu specjalistów ds. IT i bezpieczeństwa, którzy szydzą z nich, mówiąc, że nie są to środki bezpieczeństwa. W pewnym sensie są całkowicie poprawne. Jeśli jednak istnieją kroki, które możesz podjąć, aby utrudnić włamanie do sieci, myślę, że warto to rozważyć.
Dobre zabezpieczenie to nie „ustaw i zapomnij”. Wszyscy słyszeliśmy o wielu naruszeniach bezpieczeństwa w niektórych największych firmach. Dla mnie naprawdę irytujące jest to, że byliście zagrożeni przez 3, 6, 12 miesięcy lub dłużej, zanim zostały odkryte.
Poświęć trochę czasu na przejrzenie swoich dzienników. Przeskanuj swoją sieć w poszukiwaniu nieoczekiwanych urządzeń i połączeń.
Poniżej znajduje się miarodajne odniesienie: