Neexistuje nic takového jako dokonalé zabezpečení. Vzhledem k dostatku znalostí, zdrojů a času může být jakýkoli systém ohrožen. To nejlepší, co můžete udělat, je udělat útočníkovi co nejtěžší. To znamená, že existují kroky, které můžete podniknout k posílení vaší sítě proti velké většině útoků.
Výchozí konfigurace pro to, čemu říkám spotřebitelské směrovače, nabízejí poměrně základní zabezpečení. Abych byl upřímný, neznamená to kompromisy moc. Když instaluji nový router (nebo resetuji existující), zřídka používám „průvodce nastavením“. Projdu a vše nakonfiguruji přesně tak, jak to chci. Pokud neexistuje dobrý důvod, obvykle ho nenechávám jako výchozí.
Nemůžu vám sdělit přesná nastavení, která potřebujete změnit. Administrátorská stránka každého routeru je jiná; dokonce router od stejného výrobce. V závislosti na konkrétním routeru mohou existovat nastavení, která nelze změnit. Pro mnoho z těchto nastavení budete muset vstoupit do sekce pokročilé konfigurace na stránce administrátora.
Tip : K testování zabezpečení routeru můžete použít aplikaci Android RouterCheck.
Přiložil jsem screenshoty Asus RT-AC66U. Je ve výchozím stavu.
Aktualizujte svůj firmware. Většina lidí aktualizuje firmware při první instalaci routeru a poté jej nechává na pokoji. Nedávný výzkum ukázal, že 80% z 25 nejprodávanějších modelů bezdrátových směrovačů má bezpečnostní chyby. Mezi ovlivněné výrobce patří: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet a další. Většina výrobců vydává aktualizovaný firmware, když jsou zranitelnosti odhaleny. Nastavte připomenutí v aplikaci Outlook nebo v libovolném systému elektronické pošty, který používáte. Doporučuji kontrolovat aktualizace každé 3 měsíce. Vím, že to zní jako neosvobozující, ale nainstalovat pouze firmware z webových stránek výrobce.
Zakažte také možnost routeru automaticky kontrolovat aktualizace. Nejsem fanoušek nechat zařízení 'telefon domů'. Nemáte žádnou kontrolu nad tím, jaké datum je zasláno. Věděli jste například, že několik tzv. „Inteligentních televizí“ odesílá informace zpět svému výrobci? Při každé změně kanálu odesílají všechny vaše zvyky při sledování. Pokud k nim připojíte jednotku USB, odešlou seznam všech názvů souborů na jednotce. Tato data nejsou šifrována a jsou odeslána, i když je nastavení nabídky nastaveno na NE.
Zakázat vzdálenou správu. Chápu, že někteří lidé musí být schopni vzdáleně nakonfigurovat svou síť. Pokud musíte, alespoň povolte přístup https a změňte výchozí port. Toto zahrnuje jakýkoli typ „cloudové“ správy, jako je Smartys účet Linksys a Asus 'AiCloud.
Pro správce routeru použijte silné heslo . Dost toho řekl. Výchozí hesla pro směrovače jsou všeobecně známá a nechcete, aby někdo vyzkoušel výchozí průchod a dostal se ke směrovači.
Povolit HTTPS pro všechna připojení správce. To je ve většině směrovačů ve výchozím nastavení zakázáno.
Omezte příchozí provoz. Vím, že je to zdravý rozum, ale někdy lidé nerozumí důsledkům určitých nastavení. Pokud musíte použít přesměrování portů, buďte velmi selektivní. Pokud je to možné, použijte nestandardní port pro konfigurovanou službu. Existují také nastavení pro filtrování anonymního internetového provozu (ano) a pro odpověď ping (ne).
Pro WiFi použijte šifrování WPA2. Nikdy nepoužívejte WEP. To může být zlomeno během několika minut se softwarem volně dostupným na internetu. WPA není o moc lepší.
Vypněte WPS (WiFi Protected Setup) . Chápu pohodlí používání WPS, ale bylo to špatné začít.
Omezte odchozí provoz. Jak bylo uvedeno výše, obvykle nemám ráda zařízení, která telefonují domů. Pokud máte tyto typy zařízení, zvažte blokování veškerého internetového provozu z nich.
Zakázat nepoužívané síťové služby, zejména uPnP. Při používání služby uPnP je obecně známá chyba zabezpečení. Další služby pravděpodobně zbytečné: Telnet, FTP, SMB (Samba / sdílení souborů), TFTP, IPv6
Po dokončení se odhlaste ze stránky správce . Pouze zavření webové stránky bez odhlášení může v routeru ponechat otevřenou ověřenou relaci.
Zkontrolujte zranitelnost portu 32764 . Podle mého vědomí jsou ovlivněny některé směrovače produkované společnostmi Linksys (Cisco), Netgear a Diamond, ale mohou existovat i jiné. Byl vydán novější firmware, ale nemusí plně oprava systému.
Zkontrolujte směrovač na adrese: //www.grc.com/x/portprobe=32764
Zapněte protokolování . Pravidelně ve svých protokolech vyhledejte podezřelou aktivitu. Většina směrovačů vám umožňuje zasílat protokoly e-mailem v nastavených intervalech. Také se ujistěte, že jsou hodiny a časové pásmo správně nastaveny, aby byly vaše protokoly přesné.
Pokud jde o skutečně vědomé zabezpečení (nebo možná jen paranoidní), je třeba zvážit následující kroky
Změňte uživatelské jméno správce . Každý ví, že výchozí nastavení je obvykle admin.
Vytvořte síť „Host“ . Mnoho novějších směrovačů je schopno vytvářet samostatné bezdrátové sítě hostů. Ujistěte se, že má přístup pouze k internetu, nikoli k vaší LAN (intranet). Samozřejmě použijte stejnou metodu šifrování (WPA2-Personal) s jinou přístupovou frází.
Nepřipojujte k routeru úložiště USB . To automaticky umožňuje mnoho služeb ve vašem routeru a může vystavit obsah této jednotky internetu.
Použijte alternativního poskytovatele DNS . Pravděpodobně používáte jakékoli nastavení DNS, které vám poskytl váš ISP. DNS se stále více stává cílem útoků. Existují poskytovatelé DNS, kteří podnikli další kroky k zabezpečení svých serverů. Jako další bonus může jiný poskytovatel DNS zvýšit výkon internetu.
Změňte výchozí rozsah adres IP ve vaší síti LAN (uvnitř) . Každý router, který jsem viděl na spotřebitelské úrovni, používá 192.168.1.x nebo 192.168.0.x, což usnadňuje skriptování automatického útoku.
Dostupné rozsahy jsou:
Libovolný 10.xxx
Jakékoli 192.168.xx
172.16.xx až 172.31.xx
Změňte výchozí LAN adresu routeru . Pokud někdo získá přístup k vaší síti LAN, bude vědět, že IP adresa routeru je xxx1 nebo xxx254; nedělej to pro ně snadné.
Zakázat nebo omezit DHCP . Vypnutí DHCP obvykle není praktické, pokud nejste ve velmi statickém síťovém prostředí. Raději omezím DHCP na 10-20 IP adres počínaje xxx101; to usnadňuje sledování toho, co se děje ve vaší síti. Raději umístím svá „stálá“ zařízení (stolní počítače, tiskárny, NAS atd.) Na statické IP adresy. Tímto způsobem DHCP používají pouze notebooky, tablety, telefony a hosté.
Zakázat přístup správce z bezdrátového připojení . Tato funkce není k dispozici na všech domácích směrovačích.
Zakázat vysílání SSID . Pro profesionála to není obtížné překonat a může být bolestivé umožnit návštěvníkům vaší WiFi sítě.
Použijte filtrování MAC . Stejné jako výše; nepohodlné pro návštěvníky.
Některé z těchto položek spadají do kategorie „Zabezpečení podle temnoty“ a existuje mnoho odborníků v oblasti IT a bezpečnosti, kteří se jim vysmívají a tvrdí, že se nejedná o bezpečnostní opatření. Svým způsobem jsou naprosto správné. Pokud však existují kroky, které vám pomohou zkomplikovat vaši síť, myslím, že stojí za zvážení.
Dobrá bezpečnost není „nastavena a zapomenuta“. Všichni jsme slyšeli o mnoha bezpečnostních narušeních v některých z největších společností. Pro mě je to opravdu nepříjemná část, když jste tady byli kompromitováni 3, 6, 12 měsíců nebo déle, než byla objevena.
Udělejte si čas prohlédnout si své záznamy. Prohledejte síť a hledejte neočekávaná zařízení a připojení.
Níže je uveden autoritativní odkaz:
- US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf
