Ασφαλίστε τον ασύρματο δρομολογητή σας

• Κατηγορία: Δίκτυο

Δοκιμάστε Το Όργανο Μας Για Την Εξάλειψη Των Προβλημάτων

Επιλέξτε Το Λειτουργικό Σύστημα Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Επιλέξτε Ένα Πρόγραμμα Προβολής (Προαιρετικά) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Περιγράψτε Το Πρόβλημά Σας

Λάβετε Μια Απάντηση

Στείλτε Μου Μέσω Email Εμφάνιση Στον Ιστότοπο

Δεν υπάρχει τέλεια ασφάλεια. Με δεδομένη αρκετή γνώση, πόρους και χρόνο, οποιοδήποτε σύστημα μπορεί να τεθεί σε κίνδυνο. Το καλύτερο που μπορείτε να κάνετε είναι να κάνετε όσο το δυνατόν πιο δύσκολο για έναν εισβολέα. Ωστόσο, υπάρχουν βήματα που μπορείτε να κάνετε για να σκληρύνετε το δίκτυό σας ενάντια στη συντριπτική πλειονότητα των επιθέσεων.

Οι προεπιλεγμένες διαμορφώσεις για αυτό που αποκαλώ δρομολογητές ποιότητας καταναλωτή προσφέρουν αρκετά βασική ασφάλεια. Για να είμαι ειλικρινής, δεν χρειάζονται πολλά για να τους συμβιβαστούν. Όταν εγκαθιστώ έναν νέο δρομολογητή (ή επαναφέρετε έναν υπάρχοντα), σπάνια χρησιμοποιώ τους «οδηγούς εγκατάστασης». Περνάω και διαμορφώνω τα πάντα ακριβώς όπως το θέλω. Εάν δεν υπάρχει καλός λόγος, συνήθως δεν το αφήνω ως προεπιλογή.

Δεν μπορώ να σας πω τις ακριβείς ρυθμίσεις που πρέπει να αλλάξετε. Η σελίδα διαχειριστή κάθε δρομολογητή είναι διαφορετική. ακόμη και δρομολογητή από τον ίδιο κατασκευαστή. Ανάλογα με τον συγκεκριμένο δρομολογητή, ενδέχεται να υπάρχουν ρυθμίσεις που δεν μπορείτε να αλλάξετε. Για πολλές από αυτές τις ρυθμίσεις, θα πρέπει να αποκτήσετε πρόσβαση στην προηγμένη ενότητα διαμόρφωσης της σελίδας διαχειριστή.

Υπόδειξη : μπορείτε να χρησιμοποιήσετε το Εφαρμογή Android RouterCheck για να ελέγξετε την ασφάλεια του δρομολογητή σας .

Έχω συμπεριλάβει στιγμιότυπα οθόνης ενός Asus RT-AC66U. Βρίσκεται στην προεπιλεγμένη κατάσταση.

Ενημερώστε το υλικολογισμικό σας. Τα περισσότερα άτομα ενημερώνουν το υλικολογισμικό κατά την πρώτη εγκατάσταση του δρομολογητή και στη συνέχεια το αφήνουν μόνοι. Πρόσφατη έρευνα έδειξε ότι το 80% των 25 μοντέλων ασύρματου δρομολογητή με τις μεγαλύτερες πωλήσεις έχουν ευπάθειες ασφαλείας. Οι κατασκευαστές που επηρεάζονται περιλαμβάνουν: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet και άλλους. Οι περισσότεροι κατασκευαστές κυκλοφορούν ενημερωμένο υλικολογισμικό όταν αποκαλύπτονται ευπάθειες. Ορίστε μια υπενθύμιση στο Outlook ή σε οποιοδήποτε σύστημα ηλεκτρονικού ταχυδρομείου χρησιμοποιείτε. Συνιστώ να ελέγχετε για ενημερώσεις κάθε 3 μήνες. Γνωρίζω ότι αυτό ακούγεται σαν ένα μη-brainer, αλλά εγκαθιστώ μόνο υλικολογισμικό από τον ιστότοπο του κατασκευαστή.

Επίσης, απενεργοποιήστε τη δυνατότητα του δρομολογητή να ελέγχει αυτόματα για ενημερώσεις. Δεν είμαι οπαδός του να αφήνω τις συσκευές να «τηλεφωνούν στο σπίτι». Δεν έχετε κανέναν έλεγχο για την ημερομηνία αποστολής. Για παράδειγμα, γνωρίζετε ότι αρκετές λεγόμενες «έξυπνες τηλεοράσεις» στέλνουν πληροφορίες στον κατασκευαστή τους; Στέλνουν όλες τις συνήθειες προβολής σας κάθε φορά που αλλάζετε το κανάλι. Εάν συνδέσετε μια μονάδα USB σε αυτήν, στέλνουν μια λίστα με κάθε όνομα αρχείου στη μονάδα δίσκου. Αυτά τα δεδομένα δεν είναι κρυπτογραφημένα και αποστέλλονται ακόμη και αν η ρύθμιση μενού έχει οριστεί σε ΟΧΙ.

Απενεργοποίηση απομακρυσμένης διαχείρισης. Κατανοώ ότι ορισμένα άτομα πρέπει να είναι σε θέση να αναδιαμορφώσουν το δίκτυό τους από απόσταση. Εάν πρέπει, τουλάχιστον ενεργοποιήστε την πρόσβαση https και αλλάξτε την προεπιλεγμένη θύρα. Λάβετε υπόψη ότι αυτό περιλαμβάνει οποιονδήποτε τύπο διαχείρισης που βασίζεται σε «σύννεφο», όπως ο λογαριασμός Smart WiFi του Linksys και ο AiCloud του Asus.

Χρησιμοποιήστε έναν ισχυρό κωδικό πρόσβασης για διαχειριστή δρομολογητή. Αρκετά ειπώθηκαν. Προεπιλεγμένοι κωδικοί πρόσβασης για δρομολογητές είναι κοινή γνώση και δεν θέλετε κανένας να δοκιμάσει απλώς ένα προεπιλεγμένο πάσο και να μπει στο δρομολογητή.

Ενεργοποίηση HTTPS για όλες τις συνδέσεις διαχειριστή. Αυτό είναι απενεργοποιημένο από προεπιλογή σε πολλούς δρομολογητές.

Περιορίστε την εισερχόμενη κίνηση. Ξέρω ότι αυτό είναι κοινή λογική, αλλά μερικές φορές οι άνθρωποι δεν καταλαβαίνουν τις συνέπειες ορισμένων ρυθμίσεων. Εάν πρέπει να χρησιμοποιήσετε προώθηση θυρών, να είστε πολύ επιλεκτικοί. Εάν είναι δυνατόν, χρησιμοποιήστε μια μη τυπική θύρα για την υπηρεσία που διαμορφώνετε. Υπάρχουν επίσης ρυθμίσεις για το φιλτράρισμα της ανώνυμης κίνησης στο Διαδίκτυο (ναι) και για την απόκριση ping (όχι).

Χρησιμοποιήστε κρυπτογράφηση WPA2 για το WiFi. Ποτέ μην χρησιμοποιείτε το WEP. Μπορεί να σπάσει μέσα σε λίγα λεπτά με λογισμικό που διατίθεται ελεύθερα στο Διαδίκτυο. Το WPA δεν είναι πολύ καλύτερο.

Απενεργοποίηση WPS (WiFi Protected Setup) . Κατανοώ την ευκολία χρήσης του WPS, αλλά ήταν κακό να ξεκινήσετε.

Περιορίστε την εξερχόμενη κίνηση. Όπως αναφέρθηκε παραπάνω, συνήθως δεν μου αρέσουν οι συσκευές που τηλεφωνούν στο σπίτι. Εάν διαθέτετε αυτούς τους τύπους συσκευών, εξετάστε το ενδεχόμενο να αποκλείσετε όλη την κίνηση στο Διαδίκτυο από αυτές.

Απενεργοποιήστε τις αχρησιμοποίητες υπηρεσίες δικτύου, ειδικά το uPnP. Υπάρχει ευρέως γνωστή ευπάθεια κατά τη χρήση της υπηρεσίας uPnP. Άλλες υπηρεσίες πιθανώς περιττές: Telnet, FTP, SMB (Samba / κοινή χρήση αρχείων), TFTP, IPv6

Αποσυνδεθείτε από τη σελίδα διαχειριστή όταν τελειώσετε . Το απλό κλείσιμο της ιστοσελίδας χωρίς αποσύνδεση μπορεί να αφήσει ανοιχτή μια επικυρωμένη συνεδρία στο δρομολογητή.

Ελέγξτε για ευπάθεια στη θύρα 32764 . Εξ όσων γνωρίζω, μερικοί δρομολογητές που παράγονται από Linksys (Cisco), Netgear και Diamond επηρεάζονται, αλλά μπορεί να υπάρχουν και άλλοι. Το νεότερο υλικολογισμικό κυκλοφόρησε, αλλά ενδέχεται να μην επιδιορθώσει πλήρως το σύστημα.

Ελέγξτε το δρομολογητή σας στη διεύθυνση: https://www.grc.com/x/portprobe=32764

Ενεργοποιήστε την καταγραφή . Αναζητήστε ύποπτη δραστηριότητα στα αρχεία καταγραφής σας σε τακτική βάση. Οι περισσότεροι δρομολογητές έχουν τη δυνατότητα να στέλνουν email στα αρχεία καταγραφής σε καθορισμένα διαστήματα. Βεβαιωθείτε επίσης ότι το ρολόι και η ζώνη ώρας έχουν ρυθμιστεί σωστά έτσι ώστε τα αρχεία καταγραφής σας να είναι ακριβή.

Για το πραγματικά συνειδητό της ασφάλειας (ή ίσως απλώς παρανοϊκό), τα παρακάτω είναι επιπλέον βήματα που πρέπει να λάβετε υπόψη

Αλλάξτε το όνομα χρήστη διαχειριστή . Όλοι γνωρίζουν ότι η προεπιλογή είναι συνήθως διαχειριστής.

Δημιουργήστε ένα δίκτυο 'Επισκέπτης' . Πολλοί νεότεροι δρομολογητές μπορούν να δημιουργήσουν ξεχωριστά ασύρματα δίκτυα επισκεπτών. Βεβαιωθείτε ότι έχει πρόσβαση μόνο στο Διαδίκτυο και όχι στο LAN (intranet). Φυσικά, χρησιμοποιήστε την ίδια μέθοδο κρυπτογράφησης (WPA2-Personal) με διαφορετική φράση πρόσβασης.

Μην συνδέετε χώρο αποθήκευσης USB στο δρομολογητή σας . Αυτό ενεργοποιεί αυτόματα πολλές υπηρεσίες στο δρομολογητή σας και ενδέχεται να εκθέσει το περιεχόμενο αυτής της μονάδας στο Διαδίκτυο.

Χρησιμοποιήστε έναν εναλλακτικό πάροχο DNS . Είναι πιθανό να χρησιμοποιείτε οποιεσδήποτε ρυθμίσεις DNS σας έδωσε ο ISP σας. Το DNS έχει γίνει όλο και περισσότερο στόχος για επιθέσεις. Υπάρχουν πάροχοι DNS που έχουν λάβει επιπλέον μέτρα για να ασφαλίσουν τους διακομιστές τους. Ως πρόσθετο μπόνους, ένας άλλος πάροχος DNS μπορεί να αυξήσει την απόδοση του διαδικτύου σας.

Αλλάξτε το προεπιλεγμένο εύρος διευθύνσεων IP στο δίκτυό σας LAN (εσωτερικό) . Κάθε δρομολογητής βαθμού καταναλωτή που έχω δει χρησιμοποιεί 192.168.1.x ή 192.168.0.x καθιστώντας ευκολότερη τη δημιουργία σεναρίου μιας αυτόματης επίθεσης.
Οι διαθέσιμες περιοχές είναι:
Οποιαδήποτε 10.x.x.x
Οποιαδήποτε 192.168.x.x
172.16.x.x έως 172.31.x.x

Αλλάξτε την προεπιλεγμένη διεύθυνση LAN του δρομολογητή . Εάν κάποιος αποκτήσει πρόσβαση στο LAN σας, γνωρίζει ότι η διεύθυνση IP του δρομολογητή είναι είτε x.x.x.1 είτε x.x.x.254. μην το κάνετε εύκολο για αυτούς.

Απενεργοποίηση ή περιορισμός DHCP . Η απενεργοποίηση του DHCP συνήθως δεν είναι πρακτική, εκτός εάν βρίσκεστε σε ένα πολύ στατικό περιβάλλον δικτύου. Προτιμώ να περιορίσω το DHCP σε 10-20 διευθύνσεις IP ξεκινώντας από x.x.x.101. Αυτό καθιστά ευκολότερο να παρακολουθείτε τι συμβαίνει στο δίκτυό σας. Προτιμώ να τοποθετώ τις «μόνιμες» συσκευές μου (επιτραπέζιους υπολογιστές, εκτυπωτές, NAS κ.λπ.) σε στατικές διευθύνσεις IP. Με αυτόν τον τρόπο μόνο φορητοί υπολογιστές, tablet, τηλέφωνα και επισκέπτες χρησιμοποιούν DHCP.

Απενεργοποιήστε την πρόσβαση διαχειριστή από ασύρματο . Αυτή η λειτουργικότητα δεν είναι διαθέσιμη σε όλους τους οικιακούς δρομολογητές.

Απενεργοποίηση μετάδοσης SSID . Αυτό δεν είναι δύσκολο για έναν επαγγελματία να ξεπεραστεί και μπορεί να είναι ενοχλητικό για να επιτρέψετε στους επισκέπτες στο δίκτυό σας WiFi.

Χρησιμοποιήστε το φιλτράρισμα MAC . Ιδια όπως παραπάνω; ενοχλητικό για τους επισκέπτες.

Ορισμένα από αυτά τα στοιχεία εμπίπτουν στην κατηγορία «Ασφάλεια από σκοτάδι» και υπάρχουν πολλοί επαγγελματίες πληροφορικής και ασφάλειας που τους χλευάζουν, λέγοντας ότι δεν είναι μέτρα ασφαλείας. Κατά κάποιο τρόπο, είναι απολύτως σωστές. Ωστόσο, εάν υπάρχουν βήματα που μπορείτε να κάνετε για να κάνετε πιο δύσκολο τον συμβιβασμό του δικτύου σας, νομίζω ότι αξίζει να εξεταστεί.

Η καλή ασφάλεια δεν είναι «ρυθμίστε την και ξεχάστε την». Όλοι έχουμε ακούσει για τις πολλές παραβιάσεις ασφαλείας σε ορισμένες από τις μεγαλύτερες εταιρείες. Για μένα, το πραγματικά ενοχλητικό μέρος είναι όταν εσείς εδώ είχαν συμβιβαστεί για 3, 6, 12 μήνες ή περισσότερο πριν από την ανακάλυψή τους.

Αφιερώστε χρόνο για να δείτε τα αρχεία καταγραφής σας. Σαρώστε το δίκτυό σας αναζητώντας απρόσμενες συσκευές και συνδέσεις.

Ακολουθεί μια έγκυρη αναφορά:

• US-CERT - https://www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf