Ασφαλίστε τον ασύρματο δρομολογητή σας

Δεν υπάρχει τέλεια ασφάλεια. Λαμβάνοντας υπόψη αρκετές γνώσεις, πόρους και χρόνο, κάθε σύστημα μπορεί να διακυβευτεί. Το καλύτερο που μπορείτε να κάνετε είναι να το κάνετε όσο πιο δύσκολο γίνεται για έναν εισβολέα. Αυτό είπε ότι υπάρχουν βήματα που μπορείτε να κάνετε για να σκληρύνετε το δίκτυό σας από τη συντριπτική πλειοψηφία των επιθέσεων.

Οι προεπιλεγμένες διαμορφώσεις για αυτό που ονομάζω δρομολογητές ποιότητας για τους καταναλωτές προσφέρουν αρκετά βασική ασφάλεια. Για να είμαι ειλικρινής, δεν χρειάζεται να συμβεί κάτι τέτοιο. Όταν εγκαθιστώ ένα νέο δρομολογητή (ή επαναφέρω ένα υπάρχον), σπάνια χρησιμοποιώ τους 'οδηγούς ρύθμισης'. Περνάω και ρυθμίζω τα πάντα ακριβώς όπως το θέλω. Εκτός αν υπάρχει ένας καλός λόγος, συνήθως δεν το αφήνω ως προεπιλογή.

Δεν μπορώ να σας πω τις ακριβείς ρυθμίσεις που πρέπει να αλλάξετε. Η σελίδα διαχειριστή κάθε δρομολογητή είναι διαφορετική. ακόμη και δρομολογητή από τον ίδιο κατασκευαστή. Ανάλογα με τον συγκεκριμένο δρομολογητή, μπορεί να υπάρχουν ρυθμίσεις που δεν μπορείτε να αλλάξετε. Για πολλές από αυτές τις ρυθμίσεις, θα πρέπει να έχετε πρόσβαση στην ενότητα σύνθετων ρυθμίσεων της σελίδας διαχειριστή.

Συμβουλή : μπορείτε να χρησιμοποιήσετε την εφαρμογή Android RouterCheck για να ελέγξετε την ασφάλεια του δρομολογητή σας.

Έχω συμπεριλάβει στιγμιότυπα οθόνης ενός Asus RT-AC66U. Είναι στην προεπιλεγμένη κατάσταση.

Ενημερώστε το υλικολογισμικό σας. Οι περισσότεροι άνθρωποι ενημερώνουν το υλικολογισμικό κατά την πρώτη εγκατάσταση του δρομολογητή και στη συνέχεια αφήνουν μόνο του. Πρόσφατες έρευνες έδειξαν ότι το 80% των 25 κορυφαίων μοντέλων ασύρματου δρομολογητή έχουν ευπάθειες ασφαλείας. Οι επηρεαζόμενοι κατασκευαστές περιλαμβάνουν: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet και άλλους. Οι περισσότεροι κατασκευαστές εκδίδουν ενημερωμένο υλικολογισμικό όταν εμφανιστούν τα τρωτά σημεία. Ορίστε μια υπενθύμιση στο Outlook ή σε οποιοδήποτε σύστημα ηλεκτρονικού ταχυδρομείου χρησιμοποιείτε. Συνιστώ τον έλεγχο για ενημερώσεις κάθε 3 μήνες. Ξέρω ότι αυτό ακούγεται σαν ένα μη-brainer, αλλά μόνο εγκαταστήστε firmware από την ιστοσελίδα του κατασκευαστή.

Επίσης, απενεργοποιήστε τη δυνατότητα του δρομολογητή να ελέγχει αυτόματα για ενημερώσεις. Δεν είμαι οπαδός της ενοικίασης του τηλεφώνου στο σπίτι των συσκευών. Δεν έχετε κανέναν έλεγχο σχετικά με την ημερομηνία αποστολής. Για παράδειγμα, γνωρίζατε ότι πολλές λεγόμενες "έξυπνες τηλεοράσεις" στέλνουν πληροφορίες πίσω στον κατασκευαστή τους; Στέλνουν όλες τις συνήθειες προβολής κάθε φορά που αλλάζετε το κανάλι. Εάν συνδέσετε μια μονάδα USB σε αυτά, στέλνουν μια λίστα με κάθε όνομα αρχείου στη μονάδα δίσκου. Αυτά τα δεδομένα δεν είναι κρυπτογραφημένα και αποστέλλονται ακόμη και αν η ρύθμιση του μενού είναι ΝΑΙ.

Απενεργοποίηση απομακρυσμένης διαχείρισης. Καταλαβαίνω ότι ορισμένοι άνθρωποι πρέπει να είναι σε θέση να αναδιαμορφώσουν το δίκτυό τους από απόσταση. Εάν πρέπει να ενεργοποιήσετε τουλάχιστον την πρόσβαση https και να αλλάξετε την προεπιλεγμένη θύρα. Σημειώστε ότι αυτό περιλαμβάνει οποιοδήποτε είδος διαχείρισης που βασίζεται σε σύννεφο, όπως το Λογαριασμό Smart WiFi της Linksys και το Asus 'AiCloud.

Χρησιμοποιήστε έναν ισχυρό κωδικό πρόσβασης για το δρομολογητή admin. Αρκετά ειπώθηκαν. Οι προεπιλεγμένοι κωδικοί πρόσβασης για δρομολογητές είναι κοινές γνώσεις και δεν θέλετε να δοκιμάσετε απλώς ένα προεπιλεγμένο περάσει και να μπείτε στο δρομολογητή.

Ενεργοποιήστε το HTTPS για όλες τις συνδέσεις διαχειριστή. Αυτό είναι απενεργοποιημένο από προεπιλογή σε πολλούς δρομολογητές.

Περιορίστε την εισερχόμενη κίνηση. Ξέρω ότι αυτό είναι κοινή λογική, αλλά μερικές φορές οι άνθρωποι δεν καταλαβαίνουν τις συνέπειες ορισμένων ρυθμίσεων. Εάν πρέπει να χρησιμοποιήσετε την προώθηση των θυρών, να είστε πολύ επιλεκτικοί. Εάν είναι δυνατόν, χρησιμοποιήστε μια μη τυπική θύρα για την υπηρεσία που ρυθμίζετε. Υπάρχουν επίσης ρυθμίσεις για το φιλτράρισμα της ανώνυμης κίνησης στο διαδίκτυο (ναι) και για την απάντηση ping (όχι).

Χρησιμοποιήστε κρυπτογράφηση WPA2 για το WiFi. Ποτέ μην χρησιμοποιείτε το WEP. Μπορεί να σπάσει μέσα σε λίγα λεπτά με λογισμικό που διατίθεται δωρεάν στο διαδίκτυο. Το WPA δεν είναι πολύ καλύτερο.

Απενεργοποιήστε το WPS (WiFi Protected Setup) . Κατανοώ την ευκολία χρήσης του WPS, αλλά ήταν κακή ιδέα να ξεκινήσω.

Περιορίστε την εξερχόμενη κυκλοφορία. Όπως αναφέρθηκε παραπάνω, συνήθως δεν μου αρέσουν συσκευές που τηλεφωνούν στο σπίτι. Εάν διαθέτετε τέτοιους τύπους συσκευών, σκεφτείτε να αποκλείσετε από αυτές όλες τις διαδικτυακές υπηρεσίες.

Απενεργοποιήστε τις υπηρεσίες δικτύου που δεν χρησιμοποιείτε, ειδικά το uPnP. Υπάρχει ευρέως γνωστή ευπάθεια κατά τη χρήση της υπηρεσίας uPnP. Άλλες υπηρεσίες ίσως δεν είναι απαραίτητες: Telnet, FTP, SMB (Samba / κοινή χρήση αρχείων), TFTP, IPv6

Αποσυνδεθείτε από τη σελίδα διαχείρισης όταν τελειώσετε . Μόνο το κλείσιμο της ιστοσελίδας χωρίς αποσύνδεση μπορεί να αφήσει ανοικτή μια αυθεντική περίοδο λειτουργίας στον δρομολογητή.

Ελέγξτε για ευπάθεια 32764 θύρας . Από τη δική μου γνώση ορισμένοι δρομολογητές που παράγονται από Linksys (Cisco), Netgear, και Diamond επηρεάζονται, αλλά μπορεί να υπάρχουν και άλλοι. Παρουσιάστηκε νεότερο υλικολογισμικό, αλλά ενδέχεται να μην καλύψει πλήρως το σύστημα.

Ελέγξτε το δρομολογητή στη διεύθυνση: //www.grc.com/x/portprobe=32764

Ενεργοποιήστε την καταγραφή . Αναζητήστε ύποπτη δραστηριότητα στα αρχεία καταγραφής σας σε τακτική βάση. Οι περισσότεροι δρομολογητές έχουν τη δυνατότητα να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου σε σας σε καθορισμένα χρονικά διαστήματα. Βεβαιωθείτε επίσης ότι το ρολόι και η ζώνη ώρας έχουν ρυθμιστεί σωστά, έτσι ώστε τα αρχεία καταγραφής να είναι ακριβή.

Για την πραγματικά συνειδητή (ή ίσως απλά παρανοϊκή), τα ακόλουθα είναι πρόσθετα βήματα για να εξετάσετε

Αλλάξτε το όνομα χρήστη του διαχειριστή . Όλοι γνωρίζουν ότι η προεπιλογή είναι συνήθως admin.

Δημιουργήστε ένα δίκτυο επισκεπτών . Πολλοί νεότεροι δρομολογητές είναι σε θέση να δημιουργήσουν ξεχωριστά ασύρματα δίκτυα επισκεπτών. Βεβαιωθείτε ότι έχει πρόσβαση μόνο στο διαδίκτυο και όχι στο LAN (intranet). Φυσικά, χρησιμοποιήστε την ίδια μέθοδο κρυπτογράφησης (WPA2-Personal) με διαφορετική φράση πρόσβασης.

Μην συνδέετε το αποθηκευτικό χώρο USB στο δρομολογητή σας . Αυτό ενεργοποιεί αυτόματα πολλές υπηρεσίες στον δρομολογητή σας και ενδέχεται να εκθέσει τα περιεχόμενα αυτής της μονάδας στο Διαδίκτυο.

Χρησιμοποιήστε έναν εναλλακτικό παροχέα DNS . Είναι πιθανό να χρησιμοποιείτε τις ρυθμίσεις DNS που σας έδωσε ο ISP. Το DNS έχει γίνει ολοένα και περισσότερο στόχος για επιθέσεις. Υπάρχουν πάροχοι DNS που έχουν λάβει πρόσθετα βήματα για να εξασφαλίσουν τους διακομιστές τους. Ως πρόσθετο πλεονέκτημα, ένας άλλος πάροχος DNS μπορεί να αυξήσει την απόδοση του διαδικτύου σας.

Αλλάξτε το προεπιλεγμένο εύρος διευθύνσεων IP στο δίκτυο LAN (εντός) . Κάθε δρομολογητής ποιότητας καταναλωτή που έχω δει χρησιμοποιεί είτε το 192.168.1.x είτε το 192.168.0.x, διευκολύνοντας τη δημιουργία αυτοματοποιημένης επίθεσης.

Διαθέσιμα εύρη είναι:

Οποιαδήποτε 10.xxx

Οποιαδήποτε 192.168.xx

172.16.xx έως 172.31.xx

Αλλάξτε την προεπιλεγμένη διεύθυνση LAN του δρομολογητή . Εάν κάποιος αποκτήσει πρόσβαση στο τοπικό σας δίκτυο, γνωρίζει ότι η διεύθυνση IP του δρομολογητή είναι είτε xxx1 είτε xxx254. μην το καταστήσετε εύκολο για αυτούς.

Απενεργοποιήστε ή περιορίστε το DHCP . Η απενεργοποίηση του DHCP δεν είναι συνήθως πρακτική, εκτός εάν βρίσκεστε σε πολύ στατικό περιβάλλον δικτύου. Προτιμώ να περιορίσω το DHCP σε 10-20 διευθύνσεις IP ξεκινώντας από το xxx101. αυτό διευκολύνει την παρακολούθηση του τι συμβαίνει στο δίκτυό σας. Προτιμώ να τοποθετώ τις "μόνιμες" συσκευές μου (επιτραπέζιους υπολογιστές, εκτυπωτές, NAS κ.λπ.) σε στατικές διευθύνσεις IP. Έτσι, μόνο οι φορητοί υπολογιστές, τα tablet, τα τηλέφωνα και οι επισκέπτες χρησιμοποιούν το DHCP.

Απενεργοποιήστε την πρόσβαση διαχειριστή από ασύρματα . Αυτή η λειτουργία δεν είναι διαθέσιμη σε όλους τους δρομολογητές οικίας.

Απενεργοποιήστε τη μετάδοση SSID . Αυτό δεν είναι δύσκολο για έναν επαγγελματία να ξεπεράσει και μπορεί να κάνει έναν πόνο για να επιτρέψει στους επισκέπτες στο WiFi δίκτυο σας.

Χρησιμοποιήστε φιλτράρισμα MAC . Ιδια όπως παραπάνω; ακατάλληλο για τους επισκέπτες.

Ορισμένα από αυτά τα στοιχεία εμπίπτουν στην κατηγορία «Ασφάλεια με ανασφάλεια» και υπάρχουν πολλοί επαγγελματίες στον τομέα της πληροφορικής και της ασφάλειας που τους θρηνούν, λέγοντας ότι δεν αποτελούν μέτρα ασφαλείας. Κατά κάποιο τρόπο, είναι απολύτως σωστά. Ωστόσο, αν υπάρχουν βήματα που μπορείτε να κάνετε για να δυσκολευτείτε να συμβιβάσετε το δίκτυό σας, νομίζω ότι αξίζει να εξεταστεί.

Η καλή ασφάλεια δεν είναι «να την ορίσετε και να την ξεχάσετε». Όλοι έχουμε ακούσει για τις πολλές παραβιάσεις ασφαλείας σε ορισμένες από τις μεγαλύτερες εταιρείες. Για μένα, το πραγματικά ενοχλητικό μέρος είναι όταν εδώ είχατε συμβιβαστεί για 3, 6, 12 μήνες ή περισσότερο πριν ανακαλυφθεί.

Πάρτε το χρόνο για να δείτε τα αρχεία καταγραφής σας. Σαρώστε το δίκτυό σας ψάχνοντας για μη αναμενόμενες συσκευές και συνδέσεις.

Παρακάτω είναι μια αξιόπιστη αναφορά:

  • US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf