Няма такова нещо като перфектна сигурност. При достатъчно знания, ресурси и време всяка система може да бъде компрометирана. Най-доброто, което можете да направите, е да затрудните нападателя възможно най-много. Това каза, че има стъпки, които можете да предприемете, за да втвърдите мрежата си срещу огромната част от атаките.
Конфигурациите по подразбиране за това, което наричам рутери за потребителски клас, предлагат сравнително основна сигурност. За да бъда честен, не е нужно много да ги компрометирате. Когато инсталирам нов рутер (или нулирам съществуващ), рядко използвам „съветниците за настройка“. Преминавам и конфигурирам всичко точно както го искам. Освен ако няма основателна причина, обикновено не го оставям по подразбиране.
Не мога да ви кажа точните настройки, които трябва да промените. Административната страница на всеки рутер е различна; дори рутер от същия производител. В зависимост от конкретния рутер, може да има настройки, които не можете да промените. За много от тези настройки ще трябва да получите достъп до раздела за разширена конфигурация на администраторската страница.
Съвет : можете да използвате приложението Android RouterCheck, за да тествате сигурността на вашия рутер.
Включих скрийншоти на Asus RT-AC66U. Той е в състояние по подразбиране.
Актуализирайте своя фърмуер. Повечето хора актуализират фърмуера, когато първо инсталират рутера и след това го оставят на мира. Последните изследвания показват, че 80% от 25-те най-продавани модела на безжични рутери имат уязвими места в сигурността. Засегнатите производители включват: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet и други. Повечето производители пускат актуализиран фърмуер, когато уязвимостите бъдат разкрити. Задайте напомняне в Outlook или каквато и да е имейл система, която използвате. Препоръчвам да проверявате за актуализации на всеки 3 месеца. Знам, че това звучи като безмозъчен, но инсталирайте само фърмуер от уебсайта на производителя.
Освен това деактивирайте възможността на рутера автоматично да проверява за актуализации. Не съм привърженик на отдаването на устройства „телефон вкъщи“. Нямате контрол върху коя дата се изпраща. Например, знаете ли, че няколко така наречени „интелигентни телевизори“ изпращат информация обратно на своя производител? Те изпращат всички ваши навици за гледане всеки път, когато смените канала. Ако включите USB устройство към тях, те изпращат списък на всяко име на файл на устройството. Тези данни са незашифровани и се изпращат, дори ако настройката на менюто е зададена на НЕ.
Деактивирайте отдалечената администрация. Разбирам, че някои хора трябва да могат да преконфигурират мрежата си от разстояние. Ако трябва, поне разрешете достъпа до https и променете порта по подразбиране. Обърнете внимание, че това включва всякакъв тип управление, базирано на „облак“, като акаунт на Linkys 'Smart WiFi и Asus' AiCloud.
Използвайте силна парола за администратор на рутер. Достатъчно казано. Паролите по подразбиране за рутери са общоизвестни и не искате някой просто да опита пропуск по подразбиране и да влезе в рутера.
Активирайте HTTPS за всички администраторски връзки. Това е деактивирано по подразбиране на много рутери.
Ограничете входящия трафик. Знам, че това е здрав разум, но понякога хората не разбират последиците от определени настройки. Ако трябва да използвате пренасочване към порт, бъдете много избирателни. Ако е възможно, използвайте нестандартен порт за услугата, която конфигурирате. Има и настройки за филтриране на анонимен интернет трафик (да) и за ping отговор (не).
Използвайте WPA2 криптиране за WiFi. Никога не използвайте WEP. Той може да бъде прекъснат за минути с софтуер, свободно достъпен в интернет. WPA не е много по-добра.
Изключете WPS (WiFi Protected Setup) . Разбирам удобството на използването на WPS, но беше лоша идея да започнем.
Ограничете изходящия трафик. Както споменахме по-горе, обикновено не харесвам устройства, които се обаждат по телефона. Ако имате тези типове устройства, помислете дали да блокирате целия интернет трафик от тях.
Деактивирайте неизползваните мрежови услуги, особено uPnP. Има широко известна уязвимост при използване на услугата uPnP. Други услуги вероятно не са необходими: Telnet, FTP, SMB (Samba / споделяне на файлове), TFTP, IPv6
Излезте от страницата на администратора, когато сте готови . Само затварянето на уеб страницата, без да излезете, може да остави автентифицирана сесия отворена в рутера.
Проверете за уязвимост на порт 32764 . Доколкото знам, някои рутери, произведени от Linksys (Cisco), Netgear и Diamond, са засегнати, но може да има и други. Пуснат е по-нов фърмуер, но може и да не запълва напълно системата.
Проверете вашия рутер на: //www.grc.com/x/portprobe=32764
Включете регистрацията . Търсете подозрителна активност във вашите дневници редовно. Повечето рутери имат възможността да изпращат до вас журнали на зададени интервали. Уверете се също, че часовникът и часовата зона са настроени правилно, така че вашите дневници да са точни.
По-долу са допълнителни стъпки, които трябва да разгледате за истински съзнаващите сигурността (или може би просто параноични)
Променете името на администратора . Всеки знае, че по подразбиране обикновено е администратор.
Настройте мрежа за гости . Много по-нови рутери са в състояние да създават отделни безжични мрежи за гости. Уверете се, че той има достъп само до интернет, а не до вашата LAN (интранет). Разбира се, използвайте един и същ метод на криптиране (WPA2-Personal) с различна парола.
Не свързвайте USB хранилище към вашия рутер . Това автоматично активира много услуги на вашия рутер и може да изложи съдържанието на този диск в интернет.
Използвайте алтернативен доставчик на DNS . Вероятно използвате всички настройки на DNS, които ви е дал интернет доставчикът. DNS все повече се превръща в мишена за атаки. Има доставчици на DNS, които са предприели допълнителни стъпки за осигуряване на своите сървъри. Като допълнителен бонус, друг доставчик на DNS може да увеличи вашата производителност в Интернет.
Променете диапазона на IP адрес по подразбиране във вашата LAN (вътрешна) мрежа . Всеки маршрутизатор за потребителски клас използва или 192.168.1.x, или 192.168.0.x, което улеснява скриптирането на автоматизирана атака.
Наличните диапазони са:
Всякакви 10.xxx
Всяко 192.168.xx
172.16.xx до 172.31.xx
Променете LAN адреса на рутера по подразбиране . Ако някой получи достъп до вашата LAN, той знае, че IP адресът на рутера е xxx1 или xxx254; не ги улеснявайте.
Деактивирайте или ограничете DHCP . Изключването на DHCP обикновено не е практично, освен ако не сте в много статична мрежова среда. Предпочитам да огранича DHCP до 10-20 IP адреса, започвайки от xxx101; това улеснява проследяването на случващото се във вашата мрежа. Предпочитам да поставям своите "постоянни" устройства (настолни компютри, принтери, NAS и т.н.) на статични IP адреси. По този начин само лаптопи, таблети, телефони и гости използват DHCP.
Деактивирайте администраторския достъп от безжична връзка . Тази функционалност не е налична на всички домашни рутери.
Деактивира SSID излъчване . Това не е трудно за професионалист, който да преодолее и може да създаде болка, за да позволи на посетителите във вашата WiFi мрежа.
Използвайте MAC филтриране . Същото като по-горе; неудобен за посетителите.
Някои от тези артикули попадат в категорията „Сигурност от неизвестност“ и има много специалисти в областта на информационните технологии и сигурността, които им се присмиват, казвайки, че не са мерки за сигурност. В известен смисъл те са абсолютно коректни. Ако обаче има стъпки, които можете да предприемете, за да затруднявате компрометирането на вашата мрежа, мисля, че си струва да разгледате.
Добрата сигурност не е „задайте го и го забравете“. Всички сме чували за многото нарушения на сигурността в някои от най-големите компании. За мен наистина дразнещата част е, когато тук сте били компрометирани в продължение на 3, 6, 12 месеца или повече, преди да бъдат открити.
Отделете време, за да разгледате вашите дневници. Сканирайте мрежата си, търсейки неочаквани устройства и връзки.
По-долу е авторитетна справка:
- US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf
