Biztosítsa a vezeték nélküli útválasztót
- Kategória: Hálózat
Nincs olyan tökéletes biztonság. Ha elegendő tudás, erőforrás és idő áll rendelkezésre, bármilyen rendszer veszélybe kerülhet. A legjobb, amit megtehetsz, hogy a lehető legnehezebbé tegye a támadókat. Ez azt mondta, hogy vannak olyan lépések, amelyeket megtehetsz a hálózat megszilárdítása érdekében a támadások túlnyomó többsége ellen.
Azok az alapértelmezett konfigurációk, amelyeket úgy hívok, mint a fogyasztói minőségű útválasztók, meglehetősen alapvető biztonságot nyújtanak. Hogy őszinte legyek, nem sok igénybe vesszük őket. Amikor új útválasztót telepítek (vagy egy meglévőt visszaállítom), ritkán használom a „beállító varázslókat”. Megyek, és pontosan beállítom mindent, ahogy akarom. Hacsak nincs indok, akkor általában nem hagyom alapértelmezésként.
Nem tudom megmondani a pontos beállításokat, amelyeket meg kell változtatnia. Minden útválasztó adminisztrációs oldala különbözik; még ugyanazon gyártó útválasztója. Az adott útválasztótól függően előfordulhat, hogy vannak olyan beállítások, amelyeket nem módosíthat. E beállítások közül sokhoz be kell lépnie az admin oldal speciális konfigurációs szakaszába.
Tipp : használhatja a Az RouterCheck Android alkalmazás ellenőrizheti útválasztójának biztonságát .
Beépítettem az Asus RT-AC66U képernyőképeit. Alapértelmezett állapotban van.
Frissítse a firmware-t. A legtöbb ember frissíti a firmware-t, amikor először telepíti az útválasztót, majd hagyja békén. A legújabb kutatások kimutatták, hogy a 25 legkeresettebb vezeték nélküli útválasztó modell 80% -ánál vannak biztonsági rések. Az érintett gyártók: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet és mások. A legtöbb gyártó frissített firmware-t bocsát ki, amikor a sérülékenységeket feltárják. Állítson be emlékeztetőt az Outlookban vagy bármilyen más használt e-mail rendszerben. Azt javaslom, hogy 3 havonta ellenőrizze a frissítéseket. Tudom, hogy ez úgy hangzik, mint egy nem-bölcs, de a firmware-t csak a gyártó webhelyéről telepíthetem.
Ezenkívül tiltsa le a router azon képességét, hogy automatikusan ellenőrizze a frissítéseket. Nem vagyok rajongója annak, hogy az eszközöket otthon hagyom. Nem tudod ellenőrizni, hogy melyik időpontot küldik. Például, tudta, hogy számos úgynevezett „intelligens TV” -et küld vissza információkat a gyártójuknak? Minden csatornaváltáskor elküldik az összes megtekintési szokást. Ha csatlakoztat egy USB meghajtót a hálózatba, elküldi a meghajtón lévő összes fájlnév listáját. Ezeket az adatokat nem titkosítja, és akkor is elküldi, ha a menübeállítás NO értékre van állítva.
Távolítsa el a távoli adminisztrációt. Megértem, hogy néhány embernek képesnek kell lennie arra, hogy hálózatát távolról újrakonfigurálja. Ha engedélyeznie kell, legalább engedélyeznie kell a https-hozzáférést, és meg kell változtatnia az alapértelmezett portot. Vegye figyelembe, hogy ez magában foglalja bármilyen „felhő” alapú kezelést, például a Linksys intelligens WiFi fiókját és az Asus „AiCloud” alkalmazást.
Használjon erős jelszót router admin számára. Eleget mondott. Alapértelmezett jelszavak az útválasztókhoz közismertek, és nem akarja, hogy bárki csak kipróbáljon egy alapértelmezett hozzáférést, és lépjen be az útválasztóba.
A HTTPS engedélyezése minden admin kapcsolathoz. Ez alapértelmezés szerint le van tiltva sok útválasztón.
Korlátozza a bejövő forgalmat. Tudom, hogy ez józan ész, de néha az emberek nem értik bizonyos beállítások következményeit. Ha portos továbbítást kell használnia, légy nagyon szelektív. Ha lehetséges, használjon nem szabványos portot a konfigurált szolgáltatáshoz. Vannak még beállítások a névtelen internetes forgalom szűrésére (igen) és a ping válaszra (nem).
Használjon WPA2 titkosítást a WiFi-hez. Soha ne használja a WEP-t. Az interneten szabadon elérhető szoftverekkel néhány perc alatt megsérülhet. A WPA nem sokkal jobb.
A WPS (WiFi védett beállítás) kikapcsolása . Megértem a WPS kényelmességét, de rossz ötlet volt az indulás.
Korlátozza a kimenő forgalmat. Mint fentebb említettük, általában nem szeretem az otthoni telefonokat. Ha ilyen típusú készülékei vannak, fontolja meg az összes internetes forgalom blokkolását tőlük.
Tiltsa le a nem használt hálózati szolgáltatásokat, különösen az uPnP-t. Az uPnP szolgáltatás használata széles körben ismert biztonsági rést jelent. Egyéb szolgáltatások valószínűleg szükségtelenek: Telnet, FTP, SMB (Samba / fájlmegosztás), TFTP, IPv6
Ha kész, jelentkezzen ki az admin oldalról . Ha csak bezárja a weblapot kijelentkezés nélkül, akkor a hitelesített munkamenet nyitva marad az útválasztón.
Ellenőrizze a 32764-es port sebezhetőségét . Tudomásom szerint néhány, a Linksys (Cisco), a Netgear és a Diamond által gyártott útválasztót érint, de vannak mások. Megjelent egy újabb firmware, de előfordulhat, hogy a rendszer nem javítja ki teljesen.
Ellenőrizze útválasztóját a következő címen: https://www.grc.com/x/portprobe=32764
Kapcsolja be a naplózást . Rendszeresen keressen gyanús tevékenységet a naplóiban. A legtöbb útválasztó képes a megadott időközönként elküldeni a naplókat Önnek. Ellenőrizze azt is, hogy az óra és az időzóna helyesen van-e beállítva, hogy a naplók pontosak legyenek.
Az igazán biztonságtudatos (vagy akár csak paranoiás) számára az alábbiakban további lépéseket kell fontolóra venni
Módosítsa az admin felhasználó nevét . Mindenki tudja, hogy az alapértelmezés általában az admin.
Állítsa be a „Vendég” hálózatot . Sok újabb útválasztó képes különálló vezeték nélküli vendéghálózatok létrehozására. Győződjön meg arról, hogy csak az internethez fér hozzá, és ne a LAN-hoz (intranet). Természetesen ugyanazt a titkosítási módszert (WPA2-Personal) használja más jelszóval.
Ne csatlakoztasson USB-tárolót az útválasztóhoz . Ez automatikusan számos szolgáltatást engedélyez az útválasztón, és felteheti a meghajtó tartalmát az internetre.
Használjon alternatív DNS szolgáltatót . Valószínű, hogy az internetszolgáltató által megadott DNS-beállításokat használja. A DNS egyre inkább támadások célpontjává vált. Vannak DNS-szolgáltatók, akik további lépéseket tettek kiszolgálóik biztonságossá tétele érdekében. További bónuszként egy másik DNS-szolgáltató növelheti az internettel kapcsolatos teljesítményét.
Módosítsa az alapértelmezett IP-címtartományt a LAN (belső) hálózaton . Minden fogyasztói minőségű router, amelyet láttam, vagy a 192.168.1.x, vagy a 192.168.0.x verziót használja, megkönnyítve az automata támadás szkriptelését.
Elérhető tartományok:
Bármely 10.x.x.x
Bármely 192.168.x.x
172.16.x.x - 172.31.x.x
Módosítsa az útválasztó alapértelmezett LAN-címét . Ha valaki hozzáfér a LAN-hoz, akkor tudja, hogy a router IP-címe x.x.x.1 vagy x.x.x.254; ne tedd egyszerűvé őket.
A DHCP letiltása vagy korlátozása . A DHCP kikapcsolása általában nem praktikus, ha nem nagyon statikus hálózati környezetben van. Inkább a DHCP-t 10-20 IP-címre korlátozzam, kezdve x.x.x.101; ez megkönnyíti a hálózaton zajló események nyomon követését. Inkább a „állandó” eszközöket (asztali számítógépeket, nyomtatókat, NAS stb.) Statikus IP-címekre tesszük. Ilyen módon csak laptopok, táblagépek, telefonok és vendégek használják a DHCP-t.
Tiltsa le az adminisztrátori hozzáférést a vezeték nélküli szolgáltatásból . Ez a funkció nem minden otthoni útválasztón elérhető.
Tiltsa le az SSID sugárzást . A szakemberek számára ezt nem nehéz legyőzni, és fájdalmat okozhat, ha a látogatók elérhetővé teszik a WiFi hálózatot.
Használjon MAC-szűrést . Ugyanaz, mint fent; kellemetlen a látogatók számára.
Ezen elemek némelyike a „Biztonság az eltugdatlanságból” kategóriába tartozik, és sok informatikai és biztonsági szakember sérti őket, mondván, hogy nem biztonsági intézkedések. Bizonyos értelemben teljesen helyesek. Ha vannak olyan lépések, amelyeket megtehetsz a hálózat veszélyeztetésének megnehezítése érdekében, azt hiszem, érdemes megfontolni.
A jó biztonság nem azt jelenti, hogy „állítsd be és felejtsd el”. Mindannyian hallottuk a néhány biztonsági vállalkozás számos biztonsági megsértéséről. Számomra az igazán bosszantó rész az, amikor itt 3, 6, 12 hónapig vagy annál tovább veszélybe kerültek, mielőtt felfedezték.
Szánjon időt a naplók áttekintésére. Vizsgálja meg hálózatát, váratlan eszközöket és kapcsolatokat keresve.
Az alábbiakban egy hiteles hivatkozás található: