Осигурете безжичния си рутер
- Категория: Мрежа
Няма такова нещо като перфектна сигурност. При достатъчно знания, ресурси и време всяка система може да бъде компрометирана. Най-доброто, което можете да направите, е да затрудните нападателя възможно най-много. Това каза, че има стъпки, които можете да предприемете, за да втвърдите мрежата си срещу огромната част от атаките.
Конфигурациите по подразбиране за това, което наричам рутери за потребителски клас, предлагат сравнително основна сигурност. За да бъда честен, не е нужно много да ги компрометирате. Когато инсталирам нов рутер (или нулирам съществуващ), рядко използвам „съветниците за настройка“. Преминавам и конфигурирам всичко точно както го искам. Освен ако няма основателна причина, обикновено не го оставям по подразбиране.
Не мога да ви кажа точните настройки, които трябва да промените. Административната страница на всеки рутер е различна; дори рутер от същия производител. В зависимост от конкретния рутер, може да има настройки, които не можете да промените. За много от тези настройки ще трябва да получите достъп до раздела за разширена конфигурация на администраторската страница.
Бакшиш : можете да използвате Приложение за Android RouterCheck за тестване на сигурността на вашия рутер ,
Включих скрийншоти на Asus RT-AC66U. Той е в състояние по подразбиране.
Актуализирайте своя фърмуер. Повечето хора актуализират фърмуера, когато първо инсталират рутера и след това го оставят на мира. Последните изследвания показват, че 80% от 25-те най-продавани модела на безжични рутери имат уязвими места в сигурността. Засегнатите производители включват: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet и други. Повечето производители пускат актуализиран фърмуер, когато уязвимостите бъдат разкрити. Задайте напомняне в Outlook или каквато и да е имейл система, която използвате. Препоръчвам да проверявате за актуализации на всеки 3 месеца. Знам, че това звучи като безмозъчен, но инсталирайте само фърмуер от уебсайта на производителя.
Освен това деактивирайте възможността на рутера автоматично да проверява за актуализации. Не съм почитател да пускам устройства „телефон вкъщи“. Нямате контрол върху коя дата се изпраща. Например, знаете ли, че няколко така наречени „интелигентни телевизори“ изпращат информация обратно на своя производител? Те изпращат всички ваши навици за гледане всеки път, когато смените канала. Ако включите USB устройство към тях, те изпращат списък на всяко име на файл на устройството. Тези данни са незашифровани и се изпращат, дори ако настройката на менюто е зададена на НЕ.
Деактивирайте отдалечената администрация. Разбирам, че някои хора трябва да могат да преконфигурират мрежата си от разстояние. Ако трябва, поне активирайте https достъп и променете порта по подразбиране. Обърнете внимание, че това включва всеки тип управление в облак, като например акаунт на Wi-Fi на Smartys на Linkys и AiCloud на Asus.
Използвайте силна парола за администратор на рутер. Достатъчно казано. Пароли по подразбиране за рутери са общоизвестни и не искате някой просто да опита пропуска по подразбиране и да влезе в рутера.
Активиране на HTTPS за всички администраторски връзки. Това е деактивирано по подразбиране на много рутери.
Ограничете входящия трафик. Знам, че това е здрав разум, но понякога хората не разбират последиците от определени настройки. Ако трябва да използвате пренасочване към порт, бъдете много избирателни. Ако е възможно, използвайте нестандартен порт за услугата, която конфигурирате. Има и настройки за филтриране на анонимен интернет трафик (да) и за ping отговор (не).
Използвайте WPA2 криптиране за WiFi. Никога не използвайте WEP. Той може да бъде прекъснат за минути с софтуер, свободно достъпен в интернет. WPA не е много по-добра.
Изключете WPS (WiFi Protected Setup) , Разбирам удобството на използването на WPS, но беше лоша идея да започна.
Ограничете изходящия трафик. Както споменахме по-горе, обикновено не харесвам устройства, които се обаждат по телефона. Ако имате тези видове устройства, помислете дали да блокирате целия интернет трафик от тях.
Деактивирайте неизползваните мрежови услуги, особено uPnP. Има широко известна уязвимост при използване на uPnP услуга. Други услуги вероятно не са необходими: Telnet, FTP, SMB (Samba / споделяне на файлове), TFTP, IPv6
Излезте от страницата на администратора, когато сте готови , Само затварянето на уеб страницата, без да излезете, може да остави автентифицирана сесия отворена в рутера.
Проверете за уязвимост на порт 32764 , Доколкото знам, някои рутери, произведени от Linksys (Cisco), Netgear и Diamond, са засегнати, но може да има и други. Пуснат е по-нов фърмуер, но може и да не запълни напълно системата.
Проверете вашия рутер на: https://www.grc.com/x/portprobe=32764
Включете регистрацията , Търсете подозрителна активност във вашите дневници редовно. Повечето рутери имат възможността да изпращат до вас журнали на зададени интервали. Уверете се също, че часовникът и часовата зона са настроени правилно, така че вашите дневници да са точни.
По-долу са допълнителни стъпки, които трябва да разгледате за истински осъзнатите от сигурността (или може би просто параноични)
Променете името на администратора , Всеки знае, че по подразбиране обикновено е администратор.
Настройте мрежа за гости , Много по-нови рутери са в състояние да създават отделни безжични мрежи за гости. Уверете се, че той има достъп само до интернет, а не до вашата LAN (интранет). Разбира се, използвайте същия метод за криптиране (WPA2-Personal) с различна парола.
Не свързвайте USB хранилище към вашия рутер , Това автоматично активира много услуги на вашия рутер и може да изложи съдържанието на този диск в интернет.
Използвайте алтернативен доставчик на DNS , Вероятно използвате всички настройки на DNS, които ви е дал интернет доставчикът. DNS все повече се превръща в мишена за атаки. Има доставчици на DNS, които са предприели допълнителни стъпки за осигуряване на своите сървъри. Като допълнителен бонус, друг доставчик на DNS може да увеличи вашата производителност в Интернет.
Променете диапазона на IP адрес по подразбиране във вашата LAN (вътрешна) мрежа , Всеки маршрутизатор за потребителски клас използва или 192.168.1.x, или 192.168.0.x, което улеснява скриптирането на автоматизирана атака.
Наличните диапазони са:
Всякакви 10.x.x.x
Всяко 192.168.x.x
172.16.x.x до 172.31.x.x
Променете LAN адреса на рутера по подразбиране , Ако някой получи достъп до вашата LAN, той знае, че IP адресът на рутера е x.x.x.1 или x.x.x.254; не ги улеснявайте
Деактивирайте или ограничете DHCP , Изключването на DHCP обикновено не е практично, освен ако не сте в много статична мрежова среда. Предпочитам да огранича DHCP до 10-20 IP адреса, започвайки от x.x.x.101; по този начин е по-лесно да следите какво се случва в мрежата ви. Предпочитам да поставям своите 'постоянни' устройства (настолни компютри, принтери, NAS и т.н.) на статични IP адреси. По този начин само лаптопи, таблети, телефони и гости използват DHCP.
Деактивирайте администраторския достъп от безжична връзка , Тази функционалност не е налична на всички домашни рутери.
Деактивира SSID излъчване , Това не е трудно за професионалист да преодолее и може да направи болка да позволи на посетителите във вашата WiFi мрежа.
Използвайте MAC филтриране , Същото като по-горе; неудобен за посетителите.
Някои от тези артикули попадат в категорията „Сигурност от неизвестност“ и има много специалисти по информационни технологии и сигурност, които им се присмиват, като казват, че не са мерки за сигурност. В известен смисъл те са абсолютно коректни. Ако обаче има стъпки, които можете да предприемете, за да затруднявате компрометирането на вашата мрежа, мисля, че си струва да помислите.
Добрата сигурност не е „задайте го и го забравете“. Всички сме чували за многото нарушения на сигурността в някои от най-големите компании. За мен наистина дразнещата част е, когато тук сте били компрометирани в продължение на 3, 6, 12 месеца или повече, преди да бъдат открити.
Отделете време, за да разгледате вашите дневници. Сканирайте мрежата си, търсейки неочаквани устройства и връзки.
По-долу е авторитетна справка: