Nostipriniet bezvadu maršrutētāju
- Kategorija: Tīkls
Nav tādas lietas kā perfekta drošība. Ņemot vērā pietiekamas zināšanas, resursus un laiku, jebkura sistēma var tikt apdraudēta. Labākais, ko varat darīt, ir padarīt to pēc iespējas grūtāku uzbrucējam. Tas nozīmē, ka ir pasākumi, kurus varat veikt, lai pastiprinātu savu tīklu pret lielāko daļu uzbrukumu.
Noklusējuma konfigurācijas, ko es saucu par patērētāja līmeņa maršrutētājiem, piedāvā diezgan pamata drošību. Godīgi sakot, nav nepieciešams daudz, lai tos kompromitētu. Instalējot jaunu maršrutētāju (vai atiestatot esošo), es reti izmantoju “iestatīšanas vedņus”. Es eju cauri un konfigurēju visu tieši tā, kā es to gribu. Ja vien nav pamatota iemesla, es parasti to neatstāju kā noklusējumu.
Es nevaru pateikt precīzus iestatījumus, kas jums jāmaina. Katra maršrutētāja administratora lapa ir atšķirīga; pat maršrutētāju no tā paša ražotāja. Atkarībā no konkrētā maršrutētāja, iespējams, ir iestatījumi, kurus nevar mainīt. Daudziem no šiem iestatījumiem jums būs jāpiekļūst administratora lapas papildu konfigurācijas sadaļai.
Padoms : jūs varat izmantot Android lietotne RouterCheck, lai pārbaudītu maršrutētāja drošību .
Es esmu iekļāvis Asus RT-AC66U ekrānuzņēmumus. Tas ir noklusējuma stāvoklī.
Atjauniniet savu programmaparatūru. Lielākā daļa cilvēku atjaunina programmaparatūru, pirmo reizi instalējot maršrutētāju un pēc tam atstājot to vienu pašu. Jaunākie pētījumi parādīja, ka 80% no 25 visvairāk pārdotajiem bezvadu maršrutētāju modeļiem ir drošības ievainojamības. Ietekmētie ražotāji ir: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet un citi. Lielākā daļa ražotāju izlaiž atjauninātu programmaparatūru, kad tiek atklātas ievainojamības. Iestatiet atgādinājumu programmā Outlook vai citā e-pasta sistēmā, kuru izmantojat. Es iesaku pārbaudīt atjauninājumus ik pēc 3 mēnešiem. Es zinu, ka tas izklausās bez prāta, bet instalēju tikai programmaparatūru no ražotāja vietnes.
Atspējojiet arī maršrutētāja iespējas automātiski pārbaudīt atjauninājumus. Es neesmu ventilators, kas ļauj ierīcēm nokļūt pa tālruni. Jums nav iespējas kontrolēt, kāds datums tiek nosūtīts. Piemēram, vai jūs zinājāt, ka vairāki tā sauktie “viedie televizori” sūta informāciju atpakaļ ražotājam? Viņi nosūta visus jūsu skatīšanās paradumus katru reizi, kad maināt kanālu. Ja pievienojat tiem USB diskdzini, viņi nosūta visu diskdziņa failu nosaukumus. Šie dati netiek šifrēti un tiek nosūtīti pat tad, ja izvēlnes iestatījums ir NO.
Atspējot attālo administrēšanu. Es saprotu, ka dažiem cilvēkiem ir jāspēj attālināti konfigurēt savu tīklu. Ja jums tas jādara, vismaz iespējojiet piekļuvi https un mainiet noklusējuma portu. Ņemiet vērā, ka tas ietver jebkura veida uz mākoņa balstītu pārvaldību, piemēram, Linksys Smart WiFi kontu un Asus AiCloud.
Izmantojiet spēcīgu paroli maršrutētāja administratoram. Pietiekami teica. Maršrutētāju noklusētās paroles ir vispārzināmas, un jūs nevēlaties, lai kāds vienkārši izmēģinātu noklusējuma caurlaidi un iekļūtu maršrutētājā.
Iespējot HTTPS visiem admin savienojumiem. Daudzos maršrutētājos tas pēc noklusējuma ir atspējots.
Ierobežojiet ienākošo trafiku. Es zinu, ka tas ir veselais saprāts, bet dažreiz cilvēki nesaprot noteiktu iestatījumu sekas. Ja jums jāizmanto ostas pāradresācija, esiet ļoti izvēlīgs. Ja iespējams, konfigurētajam pakalpojumam izmantojiet nestandarta portu. Ir arī iestatījumi anonīmas interneta trafika filtrēšanai (jā) un ping atbildes saņemšanai (nē).
WiFi izmantojiet WPA2 šifrēšanu. Nekad nelietojiet WEP. Izmantojot programmatūru, kas brīvi pieejama internetā, to var sabojāt dažu minūšu laikā. WPA nav daudz labāks.
Izslēdziet WPS (WiFi aizsargāta iestatīšana) . Es saprotu WPS lietošanas ērtības, taču sākt to bija slikta ideja.
Ierobežojiet izejošo trafiku. Kā minēts iepriekš, man parasti nepatīk ierīces, kuras tālrunis tiek mājās. Ja jums ir šāda veida ierīces, apsveriet iespēju bloķēt no tām visu interneta trafiku.
Atspējojiet neizmantotos tīkla pakalpojumus, īpaši uPnP. Izmantojot uPnP pakalpojumu, ir plaši zināma ievainojamība. Citi pakalpojumi, iespējams, nav nepieciešami: Telnet, FTP, SMB (Samba / failu koplietošana), TFTP, IPv6
Kad esat beidzis, izrakstieties no administratora lapas . Tikai aizverot tīmekļa lapu, neatsakoties no tā, maršrutētājā var palikt atvērta autentificēta sesija.
Pārbaudiet porta 32764 ievainojamību . Cik man zināms, daži maršrutētāji, kurus ražo Linksys (Cisco), Netgear un Diamond, tiek ietekmēti, taču var būt arī citi. Tika izlaista jaunāka programmaparatūra, taču tā, iespējams, pilnībā neapstiprināja sistēmu.
Pārbaudiet savu maršrutētāju vietnē: https://www.grc.com/x/portprobe=32764
Ieslēdziet reģistrēšanu . Regulāri meklējiet aizdomīgas darbības žurnālos. Lielākajai daļai maršrutētāju ir iespēja pa e-pastu nosūtīt jums žurnālus noteiktos laika intervālos. Pārliecinieties arī, vai pulkstenis un laika josla ir iestatīti pareizi, lai žurnāli būtu precīzi.
Tālāk ir norādīti papildu pasākumi, kas patiesi apzinās drošību (vai varbūt tikai paranojas)
Mainiet administratora lietotājvārdu . Visi zina, ka noklusējums parasti ir admin.
Iestatiet “Viesu” tīklu . Daudzi jaunāki maršrutētāji spēj izveidot atsevišķus bezvadu viesu tīklus. Pārliecinieties, ka tai ir piekļuve internetam, nevis jūsu LAN (iekštīklā). Protams, izmantojiet to pašu šifrēšanas metodi (WPA2-Personal) ar atšķirīgu ieejas frāzi.
Nepievienojiet USB krātuvi maršrutētājam . Tas automātiski aktivizē daudzus maršrutētāja pakalpojumus un var atklāt šī diska saturu internetā.
Izmantojiet alternatīvu DNS pakalpojumu sniedzēju . Iespējams, jūs izmantojat jebkurus DNS iestatījumus, ko jums piešķīris IPS. DNS arvien vairāk kļūst par uzbrukumu mērķi. Ir DNS pakalpojumu sniedzēji, kas veikuši papildu pasākumus, lai aizsargātu savus serverus. Kā papildu bonuss cits DNS sniedzējs var palielināt jūsu interneta veiktspēju.
Mainiet noklusējuma IP adrešu diapazonu LAN (iekšējā) tīklā . Ikviens patērētāja klases maršrutētājs, kuru esmu redzējis, izmanto vai nu 192.168.1.x, vai 192.168.0.x, padarot automatizēta uzbrukuma skriptu vieglāku.
Pieejamie diapazoni ir:
Jebkura 10.x.x.x
Jebkurš 192.168.x.x
172.16.x.x līdz 172.31.x.x
Mainiet maršrutētāja noklusējuma LAN adresi . Ja kāds piekļūst jūsu LAN, viņš zina, ka maršrutētāja IP adrese ir vai nu x.x.x.1, vai x.x.x.254; nepadariet to vieglu viņiem.
Atspējot vai ierobežot DHCP . DHCP izslēgšana parasti nav praktiska, ja atrodaties ļoti statiskā tīkla vidē. Es gribētu ierobežot DHCP līdz 10-20 IP adresēm, sākot ar x.x.x.101; tas ļauj vieglāk izsekot tam, kas notiek jūsu tīklā. Es labprātāk novietoju savas “pastāvīgās” ierīces (galddatorus, printerus, NAS utt.) Statiskās IP adresēs. Tādā veidā DHCP izmanto tikai klēpjdatori, planšetdatori, tālruņi un viesi.
Atspējojiet administratora piekļuvi no bezvadu tīkla . Šī funkcionalitāte nav pieejama visiem mājas maršrutētājiem.
Atspējot SSID apraidi . Profesionālam to nav grūti pārvarēt, un tas var sagādāt sāpes, ļaujot apmeklētājiem jūsu WiFi tīklā.
Izmantojiet MAC filtrēšanu . Tāds pats kā iepriekš; neērti apmeklētājiem.
Daži no šiem priekšmetiem ietilpst kategorijā “Drošība, ko gūst neskaidrības”, un daudzi IT un drošības speciālisti viņus biedē, sakot, ka tie nav drošības pasākumi. Savā ziņā tie ir pilnīgi pareizi. Tomēr, ja ir kādas darbības, kuras varat veikt, lai apgrūtinātu tīkla kompromitēšanu, es domāju, ka tas ir vērts padomāt.
Laba drošība nav “iestatiet to un aizmirst”. Mēs visi esam dzirdējuši par daudzajiem drošības pārkāpumiem dažos no lielākajiem uzņēmumiem. Man patiešām kairinošā daļa ir tad, kad jūs šeit, pirms atklājāt, viņi bija apdraudēti 3, 6, 12 mēnešus vai ilgāk.
Nepieciešams laiks, lai apskatītu savus žurnālus. Skenējiet tīklu, meklējot neparedzētas ierīces un savienojumus.
Zemāk ir autoritatīva atsauce: