Suojaa langaton reititin

Täydellistä turvallisuutta ei ole. Riittävä tieto, resurssit ja aika voivat vaarantaa kaikki järjestelmät. Paras mitä voit tehdä, on tehdä siitä hyökkääjälle mahdollisimman vaikeaa. Se sanoi, että on olemassa toimenpiteitä, joita voit tehdä verkon koventtamiseksi valtaosaa hyökkäyksiä vastaan.

Oletuskokoonpanot, joita kutsun kuluttajaluokan reitittimiksi, tarjoavat melko perusturvan. Ollakseni rehellinen, niiden tekeminen ei vaadi paljon. Kun asennan uuden reitittimen (tai palauttaa olemassa olevan), käytän harvoin asennusvelhoja. Käyn läpi ja määritän kaiken tarkalleen miten haluan. Ellei ole olemassa syytä, en yleensä jätä sitä oletukseksi.

En voi kertoa tarkkoja asetuksia, jotka sinun on muutettava. Jokaisen reitittimen järjestelmänvalvojasivu on erilainen; jopa saman valmistajan reititin. Tietystä reitittimestä riippuen voi olla asetuksia, joita et voi muuttaa. Monien näiden asetusten osalta sinun on päästävä järjestelmänvalvojan sivun lisäasetukset-osioon.

Vihje : Voit käyttää Android-sovellusta RouterCheck testataksesi reitittimen suojausta.

Olen sisällyttänyt kuvakaappauksen Asus RT-AC66U: sta. Se on oletustilassa.

Päivitä laiteohjelmisto. Useimmat ihmiset päivittävät laiteohjelmiston, kun he ensin asentavat reitittimen ja jättävät sen sitten rauhaan. Viimeaikaiset tutkimukset ovat osoittaneet, että 80 prosentilla 25 myydyimmästä langattomasta reitittimestä on tietoturva-aukkoja. Vaikuttaviin valmistajiin kuuluvat: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet ja muut. Useimmat valmistajat julkaisevat päivitetyn laiteohjelmiston, kun haavoittuvuudet paljastetaan. Aseta muistutus Outlookiin tai muuhun sähköpostijärjestelmään. Suosittelen tarkistamaan päivitykset kolmen kuukauden välein. Tiedän, että tämä kuulostaa ketterältä, mutta asenna laiteohjelmisto vain valmistajan verkkosivustolta.

Poista myös reitittimen kyky tarkistaa päivitykset automaattisesti. En ole fani antaa laitteiden "puhelimen kotiin". Sinulla ei ole hallintaa siitä, mikä päivämäärä lähetetään. Tiesitkö esimerkiksi, että useat ns. Älytelevisiot lähettävät tietoja takaisin valmistajalleen? He lähettävät kaikki katselutapasi joka kerta, kun vaihdat kanavaa. Jos liität USB-aseman niihin, ne lähettävät luettelon jokaisesta aseman tiedostonimestä. Tietoja ei ole salattu ja ne lähetetään, vaikka valikkoasetuksena olisi EI.

Poista etähallinta käytöstä. Ymmärrän, että joidenkin ihmisten on voitava määrittää verkko uudelleen etäyhteyden avulla. Jos sinun on otettava se käyttöön, ota ainakin käyttöön https-yhteys ja muuta oletusportti. Huomaa, että tämä sisältää minkä tahansa tyyppisen pilvipohjaisen hallinnan, kuten Linksys Smart WiFi -tilin ja Asus 'AiCloud.

Käytä vahvaa salasanaa reitittimen järjestelmänvalvojalle. Tarpeeksi sanottu. Reitittimien oletussalasanat ovat yleisesti tiedossa, etkä halua kenenkään kokeilevan vain oletussalasanaa ja päästäkseen reitittimeen.

Ota HTTPS käyttöön kaikissa järjestelmänvalvojan yhteyksissä. Tämä on oletuksena poissa käytöstä monilla reitittimillä.

Rajoita saapuvaa liikennettä. Tiedän, että tämä on järkeä, mutta joskus ihmiset eivät ymmärrä tiettyjen asetusten seurauksia. Jos sinun on käytettävä portin edelleenlähetystä, ole erittäin valikoiva. Jos mahdollista, käytä epästandardia porttia määrittämääsi palvelua varten. On myös asetukset nimetön Internet-liikenteen suodattamiseksi (kyllä) ja ping-vastaukseksi (ei).

Käytä WPA2-salausta langattomaan verkkoon. Älä koskaan käytä WEP: tä. Se voidaan rikkoa muutamassa minuutissa ohjelmistoilla, jotka ovat vapaasti saatavilla Internetissä. WPA ei ole paljon parempi.

Sammuta WPS (WiFi Protected Setup) . Ymmärrän WPS: n käytön mukavuuden, mutta aloittaminen oli huono idea.

Rajoita lähtevää liikennettä. Kuten edellä mainittiin, en yleensä pidä laitteista, jotka puhuvat kotiin. Jos sinulla on tämäntyyppisiä laitteita, harkitse kaiken Internet-liikenteen estämistä niistä.

Poista käytöstä käyttämättömät verkkopalvelut, erityisesti uPnP. UPnP-palvelua käytettäessä on yleisesti tunnettu haavoittuvuus. Muut todennäköisesti tarpeettomat palvelut: Telnet, FTP, SMB (Samba / tiedostojen jakaminen), TFTP, IPv6

Kirjaudu ulos järjestelmänvalvojasivulta, kun se on valmis . Pelkkä web-sivun sulkeminen ulos kirjautumatta voi jättää todennetun istunnon avoinna reitittimessä.

Tarkista portin 32764 haavoittuvuus . Tietojeni mukaan tämä vaikuttaa joihinkin Linksysin (Cisco), Netgearin ja Diamondin tuottamiin reitittimiin, mutta voi olla muita. Uudempi laiteohjelmisto julkaistiin, mutta se ei välttämättä korjata järjestelmää kokonaan.

Tarkista reitittimesi osoitteessa: //www.grc.com/x/portprobe=32764

Ota hakkuut käyttöön . Etsi epäilyttävää toimintaa lokistasi säännöllisesti. Useimmilla reitittimillä on mahdollisuus lähettää lokit sinulle sähköpostitse tietyin väliajoin. Varmista myös, että kello ja aikavyöhyke on asetettu oikein, jotta lokit ovat oikein.

Seuraavat lisätoimenpiteet ovat todella turvallisuustietoisille (tai ehkä vain vainoharhaisille) henkilöille

Vaihda järjestelmänvalvojan käyttäjänimi . Kaikki tietävät, että oletus on yleensä järjestelmänvalvoja.

Asenna vierasverkko . Monet uudemmat reitittimet pystyvät luomaan erillisiä langattomia vierasverkkoja. Varmista, että sillä on pääsy vain Internetiin, etkä lähiverkkoasi (intranet). Käytä tietysti samaa salausmenetelmää (WPA2-Personal) eri salasanalla.

Älä kytke USB-tallennustilaa reitittimeesi . Tämä sallii automaattisesti monet reitittimen palvelut ja saattaa paljastaa aseman sisällön Internetiin.

Käytä vaihtoehtoista DNS-palveluntarjoajaa . Käytät todennäköisesti mitä tahansa DNS-asetuksia, jotka ISP antoi sinulle. DNS: stä on tullut yhä hyökkäyskohteita. Jotkut DNS-palveluntarjoajat ovat ryhtyneet lisätoimiin palvelimiensa suojaamiseksi. Lisäbonuksena toinen DNS-palveluntarjoaja voi parantaa Internet-suorituskykyäsi.

Muuta oletus-IP-osoitealuetta lähiverkossa (sisällä) . Jokainen kuluttajaluokan reititin, jonka olen nähnyt, käyttää joko 192.168.1.x tai 192.168.0.x, mikä helpottaa automaattisen hyökkäyksen kirjoittamista.

Saatavilla olevat alueet ovat:

Mikä tahansa 10.xxx

Mikä tahansa 192.168.xx

172.16.xx - 172.31.xx

Vaihda reitittimen oletus LAN-osoite . Jos joku saa pääsyn LAN-verkkoon, hän tietää, että reitittimen IP-osoite on joko xxx1 tai xxx254; älä tee siitä helppoa heille.

Poista DHCP käytöstä tai rajoita sitä . DHCP: n kytkeminen pois päältä ei yleensä ole käytännöllistä, ellet ole erittäin staattisessa verkkoympäristössä. Pidän parempana rajoittaa DHCP 10-20 IP-osoitteeseen alkaen xxx101; tämä helpottaa verkon tapahtumien seuraamista. Pidän mieluummin "pysyvien" laitteideni (pöytätietokoneet, tulostimet, NAS, jne.) Staattisiin IP-osoitteisiin. Tällä tavalla vain kannettavat tietokoneet, tablet-laitteet, puhelimet ja vieraat käyttävät DHCP: tä.

Poista järjestelmänvalvojan pääsy langattomalta . Tämä toiminto ei ole käytettävissä kaikissa kotireitittimissä.

Poista SSID-lähetys käytöstä . Tätä ei ole vaikeaa ammattilaiselle voittaa, ja se voi tuskalla antaa kävijöille mahdollisuuden langattomaan verkkoosi.

Käytä MAC-suodatusta . Sama kuin edellä; hankala vierailijoille.

Jotkut näistä esineistä kuuluvat luokkaan 'Security by Obscurity', ja monet tietotekniikan ja tietoturvan ammattilaiset huijaavat niitä sanoen, etteivät ne ole turvatoimenpiteitä. Tavallaan ne ovat täysin oikeita. Jos kuitenkin on joitain toimia, joiden avulla voit vaikeuttaa verkon vaarantamista, mielestäni se on harkinnan arvoinen.

Hyvää turvallisuutta ei ole ”asetettava ja unohda”. Olemme kaikki kuulleet monien suurimpien yritysten tietoturvaloukkauksista. Minulle todella ärsyttävä osa on, kun täällä heidät oli vaarannettu vähintään 3, 6, 12 kuukautta ennen kuin se löydettiin.

Ota aikaa tutkia lokit. Skannaa verkkoasi etsimällä odottamattomia laitteita ja yhteyksiä.

Alla on arvovaltainen viite:

  • US-CERT - //www.us-cert.gov/sites/default/files/publications/HomeRouterSecurity2011.pdf