Nu există o securitate perfectă. Având în vedere suficiente cunoștințe, resurse și timp, orice sistem poate fi compromis. Cel mai bun lucru pe care îl puteți face este să îl faceți cât mai dificil pentru un atacator. Acest lucru a spus că există pași puteți face pentru a întări rețeaua dvs. împotriva majorității atacurilor.
Configurațiile implicite pentru ceea ce numesc routere de calitate pentru consumatori oferă o siguranță destul de de bază. Pentru a fi sincer, nu este nevoie să le compromitem. Când instalez un router nou (sau resetează un existent), folosesc foarte rar „asistenții de configurare”. Parcurg și configurez totul exact cum vreau. Dacă nu există un motiv bun, de obicei nu îl las ca implicit.
Nu vă pot spune exact setările pe care trebuie să le modificați. Pagina de administrare a fiecărui router este diferită; chiar router de la același producător. În funcție de routerul specific, pot exista setări pe care nu le puteți modifica. Pentru multe dintre aceste setări, va trebui să accesați secțiunea de configurare avansată a paginii de admin.
Sfat : puteți utiliza aplicația Android RouterCheck pentru a testa securitatea routerului.
Am inclus capturi de ecran ale unui Asus RT-AC66U. Este în starea implicită.
Actualizați-vă firmware-ul. Majoritatea oamenilor actualizează firmware-ul atunci când instalează primul router și apoi îl lasă în pace. Cercetări recente au arătat că 80% din cele 25 de modele de router wireless cele mai vândute au vulnerabilități de securitate. Producătorii afectați includ: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet și alții. Majoritatea producătorilor lansează un firmware actualizat atunci când vulnerabilitățile sunt scoase la lumină. Setați un memento în Outlook sau orice sistem de e-mail pe care îl utilizați. Vă recomand să verificați actualizările la fiecare 3 luni. Știu că asta sună ca un no-brainer, dar instalează doar firmware-ul de pe site-ul producătorului.
De asemenea, dezactivați capacitatea routerului pentru a verifica automat actualizările. Nu sunt un fan de a lăsa dispozitivele „telefon acasă”. Nu aveți control asupra datei trimise. De exemplu, știați că mai multe așa-numite „televizoare inteligente” trimit informații producătorului lor? Îți trimit toate obiceiurile de vizualizare de fiecare dată când schimbi canalul. Dacă conectați o unitate USB la ele, acestea trimit o listă cu fiecare nume de fișier de pe unitate. Aceste date sunt necriptate și sunt trimise chiar dacă setarea meniului este setată pe NO.
Dezactivați administrarea la distanță. Am înțeles că unii oameni trebuie să poată reconfigura rețeaua de la distanță. Dacă trebuie, cel puțin să activați accesul https și să schimbați portul implicit. Rețineți că acesta include orice tip de gestionare bazată pe „cloud”, precum Contul WiFi inteligent Linksys și AiCloud Asus.
Utilizați o parolă puternică pentru administratorul routerului. Destul spus. Parolele implicite pentru routere sunt cunoștințe comune și nu doriți ca nimeni să încerce doar o trecere implicită și să intre în router.
Activați HTTPS pentru toate conexiunile admin. Aceasta este dezactivată implicit pe mai multe routere.
Limitați traficul de intrare. Știu că acesta este bunul simț, dar uneori oamenii nu înțeleg consecințele anumitor setări. Dacă trebuie să utilizați redirecționarea porturilor, fiți foarte selectivi. Dacă este posibil, utilizați un port non-standard pentru serviciul pe care îl configurați. Există, de asemenea, setări pentru filtrarea traficului internet anonim (da) și pentru răspunsul ping (nu).
Utilizați criptarea WPA2 pentru WiFi. Nu folosiți niciodată WEP. Poate fi spart în câteva minute, cu software-ul disponibil gratuit pe internet. WPA nu este mult mai bun.
Dezactivați WPS (WiFi Protected Setup) . Am înțeles comoditatea utilizării WPS, dar a fost o idee proastă să începeți.
Limitați traficul de ieșire. Așa cum am menționat mai sus, în mod normal nu-mi plac dispozitivele care acasă au telefonul. Dacă aveți aceste tipuri de dispozitive, luați în considerare blocarea întregului trafic de internet de la ele.
Dezactivați serviciile de rețea neutilizate, în special uPnP. Există o vulnerabilitate cunoscută pe scară largă atunci când utilizați serviciul uPnP. Alte servicii probabil inutile: Telnet, FTP, SMB (Samba / file sharing), TFTP, IPv6
Deconectați-vă de la pagina de admin când ați terminat . Doar închiderea paginii web fără a vă deconecta poate lăsa o sesiune autentificată deschisă în router.
Verificați vulnerabilitatea portului 32764 . Din câte știu, unele routere produse de Linksys (Cisco), Netgear și Diamond sunt afectate, dar pot exista și altele. Firmware-ul mai nou a fost lansat, dar este posibil să nu corecteze complet sistemul.
Verificați routerul la: //www.grc.com/x/portprobe=32764
Activați jurnalul . Căutați activități suspecte în jurnalele dvs. în mod regulat. Cele mai multe routere au capacitatea de a vă trimite prin e-mail jurnalele la intervale stabilite. De asemenea, asigurați-vă că ceasul și fusul orar sunt setate corect, astfel încât jurnalele dvs. să fie corecte.
Pentru cei cu adevărat conștienți de securitate (sau poate doar paranoici), următorii sunt pași suplimentari de luat în considerare
Schimbați numele de utilizator admin . Toată lumea știe că implicit este admin.
Configurați o rețea „Invitat” . Multe routere mai noi sunt capabile să creeze rețele de oaspeți fără fir separate. Asigurați-vă că are acces la internet și nu LAN (intranet). Desigur, utilizați aceeași metodă de criptare (WPA2-Personal) cu o parolă diferită.
Nu conectați stocarea USB la router . Aceasta permite automat multe servicii de pe routerul dvs. și poate expune conținutul acelei unități la internet.
Utilizați un furnizor alternativ de DNS . Este posibil să utilizați orice setări DNS oferite de ISP. DNS a devenit din ce în ce mai mult o țintă pentru atacuri. Există furnizori DNS care au făcut măsuri suplimentare pentru securizarea serverelor lor. Ca bonus suplimentar, un alt furnizor DNS poate crește performanța dvs. pe internet.
Modificați intervalul de adrese IP implicit din rețeaua LAN (din interior) . Fiecare router de calitate consumator pe care l-am văzut folosește fie 192.168.1.x, fie 192.168.0.x, făcând mai ușor scriptul unui atac automat.
Domeniile disponibile sunt:
Orice 10.xxx
Orice 192.168.xx
172.16.xx până la 172.31.xx
Modificați adresa LAN implicită a routerului . Dacă cineva are acces la LAN-ul dvs., știe că adresa IP a routerului este xxx1 sau xxx254; nu le face ușor pentru ei.
Dezactivează sau restricționează DHCP . Dezactivarea DHCP nu este de obicei practică decât dacă vă aflați într-un mediu de rețea foarte static. Prefer să restricționez DHCP la 10-20 de adrese IP începând de la xxx101; acest lucru face mai ușor să urmăriți ce se întâmplă în rețeaua dvs. Prefer să pun dispozitivele mele „permanente” (desktop-uri, imprimante, NAS etc.) pe adrese IP statice. În acest fel, doar laptopurile, tabletele, telefoanele și oaspeții folosesc DHCP.
Dezactivați accesul admin de la wireless . Această funcționalitate nu este disponibilă pe toate routerele de domiciliu.
Dezactivează difuzarea SSID . Acest lucru nu este dificil pentru un profesionist de depășit și poate face o durere pentru a permite vizitatorilor din rețeaua ta WiFi.
Folosiți filtrarea MAC . La fel ca mai sus; incomod pentru vizitatori.
Unele dintre aceste elemente intră în categoria „Securitate prin obscuritate” și există mulți profesioniști IT și securitate care îi batjocorește, spunând că nu sunt măsuri de securitate. Într-un fel, sunt absolut corecte. Cu toate acestea, dacă există pași pe care îi puteți face pentru a face mai dificil să vă compromiteți rețeaua, cred că merită luat în considerare.
O bună securitate nu este „setează-l și uită-o”. Cu toții am auzit despre numeroasele încălcări ale securității la unele dintre cele mai mari companii. Pentru mine, partea cu adevărat iritantă este atunci când ai fost aici compromis timp de 3, 6, 12 luni sau mai mult înainte de a fi descoperit.
Faceți timp pentru a vă examina jurnalele. Scanează-ți rețeaua căutând dispozitive și conexiuni neașteptate.
Mai jos este o referință autoritară:
- US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf
