Zabezpečte bezdrôtový smerovač

Neexistuje nič také ako dokonalá bezpečnosť. Vzhľadom na dostatok vedomostí, zdrojov a času môže byť akýkoľvek systém kompromitovaný. To najlepšie, čo môžete urobiť, je urobiť útočníkovi čo najťažšie. To znamená, že existujú kroky, ktoré môžete podniknúť na posilnenie svojej siete proti drvivej väčšine útokov.

Predvolené konfigurácie toho, čo volám spotrebiteľské smerovače, poskytujú pomerne základné zabezpečenie. Úprimne povedané, ich kompromisy neznamenajú veľa. Keď inštalujem nový smerovač (alebo resetujem existujúci), zriedka používam sprievodcov nastavením. Prechádzam sa a všetko konfigurujem presne tak, ako to chcem. Pokiaľ neexistuje dobrý dôvod, zvyčajne ho nenechám ako predvolený.

Nemôžem vám povedať presné nastavenia, ktoré musíte zmeniť. Administrátorská stránka každého smerovača je iná; dokonca router od rovnakého výrobcu. V závislosti od konkrétneho smerovača môžu existovať nastavenia, ktoré nemôžete zmeniť. Pri mnohých z týchto nastavení budete musieť prejsť do sekcie rozšírenej konfigurácie na stránke správcu.

Tip : Na testovanie zabezpečenia smerovača môžete použiť aplikáciu Android RouterCheck.

Priložil som snímky obrazovky Asus RT-AC66U. Je v predvolenom stave.

Aktualizujte svoj firmvér. Väčšina ľudí aktualizuje firmvér pri prvej inštalácii smerovača a potom ho necháva na pokoji. Nedávny výskum ukázal, že 80% z 25 najpredávanejších modelov bezdrôtových smerovačov má bezpečnostné chyby. Medzi postihnutých výrobcov patria: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet a ďalšie. Väčšina výrobcov vydáva aktualizovaný firmvér po odhalení slabých miest. Nastavte si pripomienku v programe Outlook alebo v ľubovoľnom e-mailovom systéme, ktorý používate. Odporúčam kontrolovať aktualizácie každé 3 mesiace. Viem, že to znie ako nič netušiaci, ale firmvér inštalujte iba z webovej stránky výrobcu.

Vypnite tiež možnosť smerovača automaticky kontrolovať aktualizácie. Nie som fanúšikom nechať zariadenia „telefonovať domov“. Nemáte žiadnu kontrolu nad dátumom odoslania. Vedeli ste napríklad, že niekoľko takzvaných „inteligentných televízorov“ odosiela informácie späť svojmu výrobcovi? Vždy, keď zmeníte kanál, odošlú všetky vaše zvyky pri pozeraní. Ak do nich pripojíte jednotku USB, odošlú zoznam všetkých názvov súborov na jednotke. Tieto údaje nie sú šifrované a odosielajú sa, aj keď je nastavenie ponuky nastavené na NIE.

Zakázať vzdialenú správu. Chápem, že niektorí ľudia musia byť schopní vzdialene nakonfigurovať svoju sieť. Ak musíte, aspoň povolte prístup https a zmeňte predvolený port. Upozorňujeme, že sem patrí akýkoľvek typ správy typu cloud, napríklad Smartys účet Linksys a Asus AiCloud.

Pre správcu smerovača použite silné heslo . Dosť bolo povedané. Predvolené heslá pre smerovače sú všeobecne známe a nechcete, aby niekto vyskúšal predvolené heslo a dostal sa k routeru.

Povoľte protokol HTTPS pre všetky pripojenia správcu. Na mnohých smerovačoch je to predvolene vypnuté.

Obmedzte prichádzajúci prenos. Viem, že je to zdravý rozum, ale niekedy ľudia nerozumejú dôsledkom určitých prostredí. Ak musíte použiť presmerovanie portov, buďte veľmi selektívni. Ak je to možné, použite neštandardný port pre konfigurovanú službu. Existujú aj nastavenia pre filtrovanie anonymného internetového prenosu (áno) a pre odpoveď ping (nie).

Použite šifrovanie WPA2 pre Wi-Fi. Nikdy nepoužívajte WEP. Softvér voľne dostupný na internete môže byť zlomený behom niekoľkých minút. WPA nie je o moc lepší.

Vypnite WPS (nastavenie WiFi Protected) . Chápem pohodlie používania služby WPS, ale začať bol zlý nápad.

Obmedzte odchádzajúcu komunikáciu. Ako už bolo spomenuté vyššie, obvykle sa mi nepáčia zariadenia, ktoré telefonujú domov. Ak máte tieto typy zariadení, zvážte blokovanie všetkého internetového prenosu z nich.

Zakázať nepoužívané sieťové služby, najmä uPnP. Pri používaní služby uPnP je všeobecne známa zraniteľnosť. Pravdepodobne nie sú potrebné ďalšie služby: Telnet, FTP, SMB (zdieľanie súborov Samba / súborov), TFTP, IPv6

Po dokončení sa odhláste zo stránky správcu . Iba zatvorenie webovej stránky bez odhlásenia môže ponechať autentifikovanú reláciu otvorenú v smerovači.

Skontrolujte zraniteľnosť portu 32764 . Podľa mojich vedomostí sú ovplyvnené niektoré smerovače vyrábané spoločnosťami Linksys (Cisco), Netgear a Diamond, ale môžu existovať aj iné. Bol vydaný novší firmvér, ale nemusí úplne opraviť systém.

Skontrolujte smerovač na adrese: //www.grc.com/x/portprobe=32764

Zapnite protokolovanie . Pravidelne vyhľadávajte vo svojich denníkoch podozrivú aktivitu. Väčšina smerovačov vám umožňuje zasielať protokoly e-mailom v nastavených intervaloch. Skontrolujte tiež správne nastavenie hodín a časového pásma, aby boli vaše denníky presné.

V prípade skutočne uvedomelých na bezpečnosť (alebo možno iba paranoidných) je potrebné zvážiť nasledujúce kroky

Zmeňte meno správcu . Každý vie, že predvolená hodnota je zvyčajne admin.

Nastavte sieť „Hosť“ . Mnoho novších smerovačov dokáže vytvoriť samostatné bezdrôtové hosťovské siete. Uistite sa, že má prístup iba na internet, a nie na svoju sieť LAN (intranet). Samozrejme použite rovnakú metódu šifrovania (WPA2-Personal) s inou prístupovou frázou.

Nepripájajte úložný priestor USB k smerovaču . Tým sa automaticky umožní veľa služieb na vašom smerovači a obsah tejto jednotky sa môže vystaviť internetu.

Použite alternatívneho poskytovateľa DNS . Pravdepodobne používate akékoľvek nastavenie DNS, ktoré vám dal váš ISP. DNS sa čoraz viac stáva cieľom útokov. Existujú poskytovatelia DNS, ktorí podnikli ďalšie kroky na zabezpečenie svojich serverov. Ako ďalší bonus môže ďalší poskytovateľ DNS zvýšiť výkon vášho internetu.

Zmeňte predvolený rozsah adries IP vo vašej sieti LAN (vo vnútri) . Každý smerovač spotrebiteľskej triedy, ktorý som videl, používa 192.168.1.x alebo 192.168.0.x, čo uľahčuje skriptovanie automatického útoku.

Dostupné rozsahy sú:

Ľubovoľné 10xxx

Akékoľvek 192.168.xx

172.16.xx až 172.31.xx

Zmeňte predvolenú adresu LAN smerovača . Ak niekto získa prístup k vašej sieti LAN, vie, že adresa IP smerovača je xxx1 alebo xxx254; nerob to pre nich ľahké.

Zakázať alebo obmedziť DHCP . Vypnutie DHCP zvyčajne nie je praktické, pokiaľ sa nenachádzate vo veľmi statickom sieťovom prostredí. Radšej obmedzím DHCP na 10 - 20 IP adries začínajúcich sa na xxx101; Vďaka tomu je jednoduchšie sledovať, čo sa deje vo vašej sieti. Dávam prednosť umiestneniu svojich „trvalých“ zariadení (stolové počítače, tlačiarne, NAS atď.) Na statické adresy IP. Týmto spôsobom DHCP používajú iba prenosné počítače, tablety, telefóny a hostia.

Zakázať prístup správcu z bezdrôtového pripojenia . Táto funkcia nie je k dispozícii na všetkých domácich smerovačoch.

Zakázať vysielanie SSID . Pre profesionálov to nie je ťažké prekonať a môže to spôsobiť bolesť, aby sa návštevníkom vašej siete Wi-Fi umožnilo.

Použite filtrovanie MAC . Rovnaké ako vyššie; nepohodlné pre návštevníkov.

Niektoré z týchto položiek spadajú do kategórie „Bezpečnosť podľa temnoty“ a existuje veľa odborníkov v oblasti IT a bezpečnosti, ktorí sa im vysmievajú a tvrdia, že nejde o bezpečnostné opatrenia. Svojím spôsobom sú úplne správne. Ak však existujú kroky, ktoré vám môžu sťažiť kompromitovanie vašej siete, myslím si, že stojí za zváženie.

Dobrá bezpečnosť nie je „nastavená a zabudnutá“. Všetci sme počuli o mnohých narušeniach bezpečnosti niektorých najväčších spoločností. Podľa mňa je skutočne nepríjemnou časťou, keď ste tu boli kompromitovaní 3, 6, 12 alebo viac mesiacov predtým, ako sa objavili.

Nájdite si čas na prezretie svojich denníkov. Prehľadajte svoju sieť a hľadajte neočakávané zariadenia a pripojenia.

Nižšie uvádzame smerodajný odkaz:

  • US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf