Nie ma czegoś takiego jak doskonałe bezpieczeństwo. Biorąc pod uwagę wystarczającą wiedzę, zasoby i czas, dowolny system może zostać zagrożony. Najlepsze, co możesz zrobić, to maksymalnie utrudnić atakującemu. To powiedziawszy, są kroki, które możesz podjąć, aby wzmocnić swoją sieć przed zdecydowaną większością ataków.
Domyślne konfiguracje routerów klasy konsumenckiej zapewniają dość podstawowe bezpieczeństwo. Szczerze mówiąc, nie trzeba wiele narażać na szwank. Kiedy instaluję nowy router (lub resetuję istniejący), rzadko używam „kreatorów instalacji”. Przeglądam i konfiguruję wszystko dokładnie tak, jak tego chcę. O ile nie ma dobrego powodu, zwykle nie pozostawiam tego jako domyślnego.
Nie mogę powiedzieć dokładnych ustawień, które należy zmienić. Strona administratora każdego routera jest inna; nawet router tego samego producenta. W zależności od konkretnego routera mogą istnieć ustawienia, których nie można zmienić. W przypadku wielu z tych ustawień konieczne będzie uzyskanie dostępu do sekcji konfiguracji zaawansowanej strony administratora.
Wskazówka : możesz użyć aplikacji RouterCheck na Androida, aby przetestować bezpieczeństwo routera.
Dołączyłem zrzuty ekranu Asus RT-AC66U. Jest w stanie domyślnym.
Zaktualizuj oprogramowanie wewnętrzne. Większość osób aktualizuje oprogramowanie, gdy najpierw instalują router, a następnie pozostawiają go w spokoju. Ostatnie badania wykazały, że 80% z 25 najlepiej sprzedających się modeli routerów bezprzewodowych ma luki w zabezpieczeniach. Dotknięci producenci to: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet i inni. Większość producentów wydaje zaktualizowane oprogramowanie, gdy ujawnione zostaną luki. Ustaw przypomnienie w programie Outlook lub dowolnym używanym systemie poczty e-mail. Zalecam sprawdzanie dostępności aktualizacji co 3 miesiące. Wiem, że to brzmi jak oczywiste, ale instaluję oprogramowanie tylko z witryny producenta.
Wyłącz także funkcję routera, aby automatycznie sprawdzać dostępność aktualizacji. Nie jestem fanem pozwalania urządzeniom na „telefon do domu”. Nie masz kontroli nad datą wysłania. Na przykład, czy wiesz, że kilka tak zwanych „Smart TV” wysyła informacje z powrotem do swojego producenta? Wysyłają wszystkie nawyki oglądania za każdym razem, gdy zmieniasz kanał. Jeśli podłączysz do nich dysk USB, wyślemy listę wszystkich nazw plików na dysku. Te dane są niezaszyfrowane i wysyłane, nawet jeśli ustawienie menu jest ustawione na NIE.
Wyłącz zdalną administrację. Rozumiem, że niektórzy ludzie muszą być w stanie zdalnie skonfigurować swoją sieć. Jeśli musisz, przynajmniej włącz dostęp https i zmień domyślny port. Należy pamiętać, że obejmuje to wszelkiego rodzaju zarządzanie oparte na „chmurze”, takie jak inteligentne konto WiFi Linksys i AiCloud Asusa.
Użyj silnego hasła dla administratora routera. Wystarczająco powiedziane. Domyślne hasła do routerów są powszechnie znane i nie chcesz, aby ktokolwiek po prostu spróbował użyć domyślnego hasła i dostać się do routera.
Włącz HTTPS dla wszystkich połączeń administratora. Jest to domyślnie wyłączone na wielu routerach.
Ogranicz ruch przychodzący. Wiem, że to zdrowy rozsądek, ale czasami ludzie nie rozumieją konsekwencji niektórych ustawień. Jeśli musisz użyć przekierowania portów, bądź bardzo selektywny. Jeśli to możliwe, użyj niestandardowego portu dla konfigurowanej usługi. Istnieją również ustawienia filtrowania anonimowego ruchu internetowego (tak) i odpowiedzi ping (nie).
Użyj szyfrowania WPA2 dla Wi-Fi. Nigdy nie używaj WEP. Można go zepsuć w ciągu kilku minut dzięki darmowemu oprogramowaniu dostępnemu w Internecie. WPA nie jest dużo lepsze.
Wyłącz WPS (WiFi Protected Setup) . Rozumiem wygodę korzystania z WPS, ale rozpoczęcie tego było kiepskim pomysłem.
Ogranicz ruch wychodzący. Jak wspomniano powyżej, zwykle nie lubię urządzeń, które dzwonią do domu. Jeśli masz tego typu urządzenia, rozważ zablokowanie całego ruchu internetowego z nich.
Wyłącz nieużywane usługi sieciowe, zwłaszcza UPnP. Istnieje powszechnie znana luka w zabezpieczeniach podczas korzystania z usługi UPnP. Inne usługi prawdopodobnie niepotrzebne: Telnet, FTP, SMB (Samba / udostępnianie plików), TFTP, IPv6
Po zakończeniu wyloguj się ze strony administratora . Samo zamknięcie strony internetowej bez wylogowania może pozostawić uwierzytelnioną sesję otwartą w routerze.
Sprawdź, czy jest luka w porcie 32764 . Według mojej wiedzy dotyczy to niektórych routerów produkowanych przez Linksys (Cisco), Netgear i Diamond, ale mogą istnieć inne. Wydano nowsze oprogramowanie układowe, ale może nie w pełni załatać system.
Sprawdź router na stronie: //www.grc.com/x/portprobe=32764
Włącz rejestrowanie . Regularnie sprawdzaj podejrzane działania w dziennikach. Większość routerów ma możliwość wysyłania dzienników do użytkownika w ustalonych odstępach czasu. Upewnij się również, że zegar i strefa czasowa są ustawione poprawnie, aby dzienniki były dokładne.
Dla naprawdę świadomych bezpieczeństwa (a może po prostu paranoików) poniższe kroki należy rozważyć
Zmień nazwę użytkownika administratora . Wszyscy wiedzą, że domyślnie jest to admin.
Skonfiguruj sieć „Gość” . Wiele nowszych routerów może tworzyć osobne bezprzewodowe sieci dla gości. Upewnij się, że ma on dostęp tylko do Internetu, a nie do Twojej sieci LAN (intranet). Oczywiście użyj tej samej metody szyfrowania (WPA2-Personal) z innym hasłem.
Nie podłączaj pamięci USB do routera . To automatycznie włącza wiele usług na twoim routerze i może udostępniać zawartość tego dysku w Internecie.
Użyj alternatywnego dostawcy DNS . Możliwe, że używasz ustawień DNS, które dał ci dostawca usług internetowych. DNS coraz częściej staje się celem ataków. Są dostawcy DNS, którzy podjęli dodatkowe kroki w celu zabezpieczenia swoich serwerów. Jako dodatkowy bonus inny dostawca DNS może zwiększyć wydajność Internetu.
Zmień domyślny zakres adresów IP w sieci LAN (wewnętrznej) . Każdy router klasy konsumenckiej, który widziałem, używa 192.168.1.x lub 192.168.0.x, co ułatwia skryptowanie automatycznego ataku.
Dostępne zakresy to:
Dowolny 10.xxx
Dowolne 192.168.xx
172.16.xx do 172.31.xx
Zmień domyślny adres LAN routera . Jeśli ktoś uzyska dostęp do Twojej sieci LAN, wie, że adres IP routera to xxx1 lub xxx254; nie ułatwiajcie im.
Wyłącz lub ogranicz DHCP . Wyłączenie DHCP zwykle nie jest praktyczne, chyba że jesteś w bardzo statycznym środowisku sieciowym. Wolę ograniczyć DHCP do 10-20 adresów IP od xxx101; Ułatwia to śledzenie tego, co dzieje się w Twojej sieci. Wolę umieszczać moje „stałe” urządzenia (komputery stacjonarne, drukarki, NAS itp.) Na statycznych adresach IP. W ten sposób tylko laptopy, tablety, telefony i goście korzystają z DHCP.
Wyłącz dostęp administratora z sieci bezprzewodowej . Ta funkcja nie jest dostępna we wszystkich routerach domowych.
Wyłącz transmisję SSID . Nie jest to trudne do pokonania przez profesjonalistę i może sprawić, że odwiedzanie Twojej sieci Wi-Fi będzie uciążliwe.
Użyj filtrowania MAC . Tak samo jak powyżej; niewygodne dla odwiedzających.
Niektóre z tych elementów należą do kategorii „Bezpieczeństwo według Obscurity”, a wielu specjalistów IT i bezpieczeństwa drwi z nich, twierdząc, że nie są to środki bezpieczeństwa. W pewnym sensie są absolutnie poprawne. Jeśli jednak istnieją kroki, które można podjąć, aby utrudnić skompromitowanie sieci, uważam, że warto to rozważyć.
Dobre bezpieczeństwo to nie „ustaw i zapomnij”. Wszyscy słyszeliśmy o wielu naruszeniach bezpieczeństwa w niektórych największych firmach. Dla mnie naprawdę irytujące jest to, że tutaj, zanim zostali odkryci, byli narażeni na szwank przez 3, 6, 12 miesięcy lub dłużej.
Poświęć trochę czasu na przejrzenie dzienników. Przeskanuj swoją sieć w poszukiwaniu nieoczekiwanych urządzeń i połączeń.
Poniżej znajduje się wiarygodne odniesienie:
- US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf
