Zabezpečte bezdrôtový smerovač
- Kategórie: Sieť
Neexistuje nič také ako dokonalá bezpečnosť. Vzhľadom na dostatok vedomostí, zdrojov a času môže byť akýkoľvek systém kompromitovaný. To najlepšie, čo môžete urobiť, je urobiť útočníkovi čo najťažšie. To znamená, že existujú kroky, ktoré môžete podniknúť na posilnenie svojej siete proti drvivej väčšine útokov.
Predvolené konfigurácie toho, čomu hovorím smerovače pre spotrebiteľov, ponúkajú pomerne základné zabezpečenie. Aby som bol úprimný, ich kompromisy netrvá dlho. Keď inštalujem nový smerovač (alebo resetujem existujúci), zriedka používam „sprievodcov nastavením“. Prechádzam sa a všetko nakonfigurujem presne tak, ako to chcem. Ak to nie je dobrý dôvod, zvyčajne ho nenechám ako predvolený.
Nemôžem vám povedať presné nastavenia, ktoré musíte zmeniť. Administrátorská stránka každého smerovača je iná; dokonca router od rovnakého výrobcu. V závislosti od konkrétneho smerovača môžu existovať nastavenia, ktoré nemôžete zmeniť. Pri mnohých z týchto nastavení budete musieť prejsť do sekcie rozšírenej konfigurácie na stránke správcu.
Tip : môžete použiť Aplikácia Android RouterCheck na testovanie zabezpečenia smerovača ,
Zahrnul som snímky obrazovky Asus RT-AC66U. Je v predvolenom stave.
Aktualizujte svoj firmvér. Väčšina ľudí aktualizuje firmvér pri prvej inštalácii smerovača a potom ho necháva na pokoji. Nedávny výskum ukázal, že 80% z 25 najpredávanejších modelov bezdrôtových smerovačov má bezpečnostné chyby. Medzi postihnutých výrobcov patria: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet a ďalšie. Väčšina výrobcov vydáva aktualizovaný firmvér po odhalení slabých miest. Nastavte si pripomienku v programe Outlook alebo v ľubovoľnom e-mailovom systéme, ktorý používate. Odporúčam kontrolovať aktualizácie každé 3 mesiace. Viem, že to znie ako nič netušiaci, ale firmvér inštalujem iba z webových stránok výrobcu.
Vypnite tiež možnosť smerovača automaticky kontrolovať aktualizácie. Nie som fanúšikom prenajímania zariadení „domov doma“. Nemáte žiadnu kontrolu nad dátumom odoslania. Vedeli ste napríklad, že niekoľko tzv. „Inteligentných televízorov“ odosiela informácie späť svojmu výrobcovi? Vždy, keď zmeníte kanál, odošlú všetky vaše zvyky pri pozeraní. Ak do nich pripojíte jednotku USB, odošlú zoznam všetkých názvov súborov na jednotke. Tieto údaje nie sú šifrované a odosielajú sa, aj keď je nastavenie ponuky nastavené na NIE.
Zakázať vzdialenú správu. Chápem, že niektorí ľudia musia byť schopní vzdialene nakonfigurovať svoju sieť. Ak musíte, aspoň povolte prístup https a zmeňte predvolený port. Upozorňujeme, že sem patrí akýkoľvek typ správy typu „cloud“, ako napríklad inteligentný účet WiFi spoločnosti Linksys a Asi ´AiCloud.
Použite silné heslo pre router. Dosť bolo povedané. Predvolené heslá pre smerovače sú všeobecne známe a nechcete, aby niekto vyskúšal predvolený priechod a dostal sa k routeru.
Povoliť HTTPS pre všetky pripojenia správcu. Na mnohých smerovačoch je to predvolene vypnuté.
Obmedzte prichádzajúci prenos. Viem, že je to zdravý rozum, ale niekedy ľudia nerozumejú dôsledkom určitých prostredí. Ak musíte použiť presmerovanie portov, buďte veľmi selektívni. Ak je to možné, pre službu, ktorú konfigurujete, použite neštandardný port. Existujú aj nastavenia pre filtrovanie anonymného internetového prenosu (áno) a pre odpoveď ping (nie).
Na pripojenie Wi-Fi použite šifrovanie WPA2. Nikdy nepoužívajte WEP. Softvér voľne dostupný na internete môže byť zlomený behom niekoľkých minút. WPA nie je o nič lepšie.
Vypnúť WPS (nastavenie chránené Wi-Fi) , Chápem pohodlie používania služby WPS, ale začať bol zlý nápad.
Obmedzte odchádzajúcu komunikáciu. Ako už bolo spomenuté vyššie, obvykle sa mi nepáčia zariadenia, ktoré telefonujú domov. Ak máte tieto typy zariadení, zvážte blokovanie všetkého internetového prenosu z nich.
Zakázať nepoužívané sieťové služby, najmä uPnP. Pri používaní služby uPnP je všeobecne známa zraniteľnosť. Pravdepodobne nie sú potrebné ďalšie služby: Telnet, FTP, SMB (zdieľanie súborov Samba / súborov), TFTP, IPv6
Po dokončení sa odhláste zo stránky správcu , Iba zatvorenie webovej stránky bez odhlásenia môže ponechať autentifikovanú reláciu otvorenú v smerovači.
Skontrolujte zraniteľnosť portu 32764 , Podľa mojich vedomostí sú ovplyvnené niektoré smerovače vyrábané spoločnosťami Linksys (Cisco), Netgear a Diamond, ale môžu existovať aj iné. Bol vydaný novší firmvér, ale nemusí úplne opraviť systém.
Skontrolujte smerovač na adrese: https://www.grc.com/x/portprobe=32764
Zapnite protokolovanie , Pravidelne vyhľadávajte vo svojich denníkoch podozrivú aktivitu. Väčšina smerovačov vám umožňuje zasielať protokoly e-mailom v nastavených intervaloch. Skontrolujte tiež správne nastavenie hodín a časového pásma, aby boli vaše denníky presné.
V prípade skutočne uvedomelých na bezpečnosť (alebo možno iba paranoidných) je potrebné zvážiť nasledujúce kroky
Zmeňte meno správcu , Každý vie, že predvolená hodnota je zvyčajne admin.
Vytvorte si „hosťovskú“ sieť , Mnoho novších smerovačov dokáže vytvoriť samostatné bezdrôtové hosťovské siete. Uistite sa, že má prístup iba na internet, a nie na svoju sieť LAN (intranet). Samozrejme použite rovnakú metódu šifrovania (WPA2-Personal) s inou prístupovou frázou.
Nepripájajte úložný priestor USB k smerovaču , To automaticky umožní veľa služieb na vašom smerovači a môže vystaviť obsah tejto jednotky na internete.
Použite alternatívneho poskytovateľa DNS , Pravdepodobne používate akékoľvek nastavenie DNS, ktoré vám dal váš ISP. DNS sa čoraz viac stáva cieľom útokov. Existujú poskytovatelia DNS, ktorí podnikli ďalšie kroky na zabezpečenie svojich serverov. Ako ďalší bonus môže iný poskytovateľ DNS zvýšiť výkon vášho internetu.
Zmeňte predvolený rozsah adries IP v sieti LAN (vo vnútri) , Každý smerovač spotrebiteľskej triedy, ktorý som videl, používa 192.168.1.x alebo 192.168.0.x, čo uľahčuje skriptovanie automatického útoku.
Dostupné rozsahy sú:
Akékoľvek 10.x.x.x
Ľubovoľných 192,166 x x
172,16x.x až 172,31xx
Zmeňte predvolenú adresu LAN smerovača , Ak niekto získa prístup k vašej sieti LAN, vie, že adresa IP smerovača je x.x.x.1 alebo x.x.x.254; nerobia to pre nich ľahké.
Zakázať alebo obmedziť DHCP , Vypnutie DHCP zvyčajne nie je praktické, pokiaľ sa nenachádzate vo veľmi statickom sieťovom prostredí. Radšej obmedzím DHCP na 10 - 20 IP adries začínajúcich sa na x.x.x.101; Vďaka tomu je jednoduchšie sledovať, čo sa deje vo vašej sieti. Radšej umiestňujem svoje „trvalé“ zariadenia (stolové počítače, tlačiarne, NAS atď.) Na statické adresy IP. Týmto spôsobom DHCP používajú iba prenosné počítače, tablety, telefóny a hostia.
Zakázať prístup správcu z bezdrôtového pripojenia , Táto funkcia nie je k dispozícii na všetkých domácich smerovačoch.
Zakázať vysielanie SSID , Pre profesionálov to nie je ťažké prekonať a môže to spôsobiť bolesť, aby sa návštevníkom vašej siete Wi-Fi umožnilo.
Použite filtrovanie MAC , Rovnaké ako vyššie; nepohodlné pre návštevníkov.
Niektoré z týchto položiek spadajú do kategórie „Bezpečnosť podľa temnoty“ a existuje veľa odborníkov v oblasti IT a bezpečnosti, ktorí sa im vysmievajú a tvrdia, že nejde o bezpečnostné opatrenia. Svojím spôsobom sú úplne správne. Ak však existujú kroky, ktoré vám môžu sťažiť kompromitovanie vašej siete, myslím si, že stojí za zváženie.
Dobrá bezpečnosť nie je „nastavená a zabudnutá“. Všetci sme počuli o mnohých narušeniach bezpečnosti niektorých najväčších spoločností. Podľa mňa je skutočne nepríjemnou časťou, keď ste tu boli kompromitovaní 3, 6, 12 alebo viac mesiacov predtým, ako sa objavili.
Nájdite si čas na prezretie svojich denníkov. Prehľadajte svoju sieť a hľadajte neočakávané zariadenia a pripojenia.
Nižšie uvádzame smerodajný odkaz: