Осигурајте бежични рутер
- Категорија: Мрежа
Не постоји савршено стање сигурности. С обзиром на довољно знања, ресурса и времена, било који систем може бити угрожен. Најбоље што можете је да отежате нападачу што је више могуће. То каже да постоје кораци које можете предузети како бисте ојачали своју мрежу против огромне већине напада.
Задане конфигурације за оно што називам усмјеривачима за потрошаче нуде прилично основну сигурност. Да будем искрен, није потребно много да их компромитују. Када инсталирам нови рутер (или ресетујем постојећи), ретко користим „чаробњаке за подешавање“. Пролазим и конфигуришем све тачно онако како ја желим. Осим ако постоји добар разлог, обично га не остављам као заданог.
Не могу да вам кажем тачне поставке које требате променити. Свака администраторска страница рутера је другачија; чак и рутер истог произвођача. У зависности од одређеног рутера, можда постоје подешавања која не можете мењати. За многа од ових подешавања, требаћете да приступите делу напредне конфигурације администраторске странице.
Савет : можете да користите Андроид апликација РоутерЦхецк за тестирање сигурности вашег рутера .
Укључио сам снимке заслона Асус РТ-АЦ66У. У заданом је стању.
Ажурирајте свој фирмвер. Већина људи ажурира фирмвер када први пут инсталира рутер, а затим га остави на миру. Недавна истраживања показала су да 80% од 25 најпродаванијих бежичних модела рутера има сигурносне рањивости. Повезани произвођачи укључују: Линксис, Асус, Белкин, Нетгеар, ТП-Линк, Д-Линк, Тренднет и друге. Већина произвођача издаје ажурирани фирмвер када се открију рањивости. Подесите подсетник у Оутлооку или било ком систему е-поште који користите. Препоручујем проверу исправки свака 3 месеца. Знам да ово звучи као 'не-паметни', али инсталирајте само фирмвер са веб локације произвођача.
Такође, онемогућите способност рутера да аутоматски проверава да ли постоје исправке. Нисам љубитељ да уређаји остављају „телефон кући“. Немате контролу над којим датумом се шаље. На примјер, да ли сте знали да неколико такозваних „паметних телевизора“ шаље информације назад свом произвођачу? Они шаљу све ваше навике гледања сваки пут када промените канал. Ако у њих прикључите УСБ уређај, они ће послати списак свих имена датотека на уређају. Ови подаци су шифровани и шаљу се чак и ако је поставка менија постављена на НО.
Онемогући даљинску администрацију. Разумијем да би неки људи требали бити у могућности да даљинско конфигуришу мрежу. Ако морате, барем омогућите хттпс приступ и промените подразумевани порт. Имајте на уму да то укључује било коју врсту управљања заснованог на облаку, као што је Линкис-ов Смарт ВиФи налог и Асус-ов АиЦлоуд.
Користите јаку лозинку за админ рутера. Довољно је рекао. Задане лозинке за рутере су опћепознате и не желите да нико само испроба задати пролаз и уђе у рутер.
Омогући ХТТПС за све администраторске везе. Ово је подразумевано онемогућено на многим рутерима.
Ограничите улазни саобраћај. Знам да је то здрав разум, али понекад људи не разумеју последице одређених поставки. Ако морате користити прослеђивање порта, будите врло селективни. Ако је могуће, користите нестандардни порт за услугу коју конфигуришете. Постоје и подешавања за филтрирање анонимног интернетског промета (да) и за одговор пинг-а (не).
Користите ВПА2 енкрипцију за ВиФи. Никада не користите ВЕП. Може се разбити у неколико минута софтвером који је слободно доступан на Интернету. ВПА није много боља.
Искључите ВПС (заштићено ВиФи подешавање) . Разумем погодност коришћења ВПС-а, али била је лоша идеја започети.
Ограничите одлазни саобраћај. Као што је горе поменуто, обично не волим уређаје који телефонирају код куће. Ако имате ове врсте уређаја, размислите о томе да блокирате сав интернет саобраћај на њима.
Онемогућите неискоришћене мрежне услуге, посебно уПнП. Постоји широко позната рањивост када се користи уПнП услуга. Остали сервиси су вероватно непотребни: Телнет, ФТП, СМБ (Самба / дељење датотека), ТФТП, ИПв6
Одјавите се са странице администратора када завршите . Само затварање веб странице без одјаве може оставити веродостојну сесију отворену у рутеру.
Проверите рањивост порта 32764 . Колико знам, погођени су неки рутери произведени од стране Линксис (Цисцо), Нетгеар и Диамонд, али могу бити и други. Објављен је новији фирмвер, али можда неће у потпуности закрпати систем.
Проверите свој рутер на: хттпс://ввв.грц.цом/к/портпробе=32764
Укључите евидентирање . Редовно тражите сумњиве активности у својим записницима. Већина усмјеривача има могућност слања записника вама у заданим интервалима. Такође проверите да ли су сат и временска зона правилно постављени тако да су ваши записи тачни.
Следећи додатни кораци које треба размотрити су заиста за безбедност (или можда само параноичне)
Промените корисничко име администратора . Сви знају да је подразумевано обично администратор.
Постављање мреже за госте . Многи новији рутери могу створити одвојене бежичне мреже за госте. Осигурајте да он има приступ само Интернету, а не вашој ЛАН (интранети). Наравно, користите исту методу шифрирања (ВПА2-Персонал) са различитом лозинком.
Не повезујте УСБ меморију са рутером . То аутоматски омогућава многе услуге на вашем усмјеривачу и може изложити садржај тог уређаја на интернету.
Користите алтернативног добављача ДНС-а . Вероватно ћете користити било које ДНС поставке које вам је дао ИСП. ДНС све више постаје мета напада. Постоје ДНС провајдери који су предузели додатне кораке да осигурају своје сервере. Као додатни бонус, други ДНС провајдер може да повећа ваше перформансе на Интернету.
Промените подразумевани опсег ИП адреса у вашој ЛАН (унутар) мрежи . Сваки рутер за оцену потрошача који сам видео користи 192.168.1.к или 192.168.0.к, што олакшава скрипту аутоматизованог напада.
Доступни распони су:
Било који 10.к.к.к
Било који 192.168.к.к
172.16.к.к до 172.31.к.к
Промените подразумевану ЛАН адресу рутера . Ако неко добије приступ вашој ЛАН мрежи, зна да је ИП адреса рутера или к.к.к.1 или к.к.к.254; не олакшај им
Онемогућите или ограничите ДХЦП . Искључивање ДХЦП-а обично није практично ако нисте у веома статичном мрежном окружењу. Радије бих ограничио ДХЦП на 10-20 ИП адреса почевши од к.к.к.101; ово олакшава праћење шта се дешава на вашој мрежи. Више волим да своје „сталне“ уређаје (радне површине, штампачи, НАС, итд.) Поставим на статичке ИП адресе. Тако ДХЦП користе само преносни рачунари, таблети, телефони и гости.
Онемогући администраторски приступ са бежичне мреже . Ова функција није доступна на свим кућним усмјеривачима.
Онемогући ССИД емитовање . Ово професионалцу није тешко савладати и може донети муке када ће посетиоци бити на вашој ВиФи мрежи.
Користите МАЦ филтрирање . Исто као пре; непријатна за посетиоце.
Неке од ових ставки спадају у категорију „Безбедност због несигурности“, а многи ИТ и безбедносни професионалци се ругају њима, рекавши да нису безбедносне мере. На неки начин су апсолутно тачни. Међутим, ако постоје кораци које можете предузети како бисте отежали компромитовање своје мреже, мислим да је вредно размислити.
Добра сигурност није „подесите је и заборавите“. Сви смо чули за бројна кршења безбедности у неким од највећих компанија. За мене је заиста иритантан део када сте овде били угрожени 3, 6, 12 месеци или више пре него што су откривени.
Узмите времена да прегледате своје записнике. Скенирајте мрежу тражећи неочекиване уређаје и везе.
Испод је ауторитативна референца: