Suojaa langaton reititin
- Luokka: Verkko
Täydellistä turvallisuutta ei ole. Riittävä tieto, resurssit ja aika voivat vaarantaa kaikki järjestelmät. Paras mitä voit tehdä, on tehdä siitä hyökkääjälle mahdollisimman vaikeaa. Se sanoi, että on olemassa toimenpiteitä, joita voit tehdä verkon koventtamiseksi valtaosaa hyökkäyksiä vastaan.
Oletuskokoonpanot, joita kutsun kuluttajaluokan reitittimiksi, tarjoavat melko perusturvan. Rehellisesti sanottuna heidän ei tarvitse tehdä paljon kompromisseja. Kun asennan uuden reitittimen (tai palauttaa olemassa olevan), käytän harvoin asennusvelhoja. Käyn läpi ja määritän kaiken tarkalleen miten haluan. Ellei ole olemassa syytä, en yleensä jätä sitä oletukseksi.
En osaa kertoa tarkkoja asetuksia, jotka sinun on muutettava. Jokaisen reitittimen järjestelmänvalvojasivu on erilainen; jopa saman valmistajan reititin. Tietystä reitittimestä riippuen voi olla asetuksia, joita et voi muuttaa. Monien näiden asetusten osalta sinun on päästävä järjestelmänvalvojan sivun lisäasetukset-osioon.
Kärki : voit käyttää Android-sovellus RouterCheck testaa reitittimen suojaus .
Olen sisällyttänyt kuvakaappauksen Asus RT-AC66U: sta. Se on oletustilassa.
Päivitä laiteohjelmisto. Suurin osa ihmisistä päivittää laiteohjelmiston, kun ensin asentaa reitittimen ja jättää sen sitten rauhaan. Viimeaikaiset tutkimukset ovat osoittaneet, että 80 prosentilla 25 myydyimmästä langattomasta reitittimestä on tietoturva-aukkoja. Vaikuttaviin valmistajiin kuuluvat: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet ja muut. Useimmat valmistajat julkaisevat päivitetyn laiteohjelmiston, kun haavoittuvuudet paljastetaan. Aseta muistutus Outlookiin tai muuhun sähköpostijärjestelmään. Suosittelen tarkistamaan päivitykset kolmen kuukauden välein. Tiedän, että tämä kuulostaa ketterältä, mutta asenna laiteohjelmisto vain valmistajan verkkosivustolta.
Poista myös reitittimen kyky tarkistaa päivitykset automaattisesti. En halua antaa laitteiden 'kotiin'. Sinulla ei ole hallintaa siitä, mikä päivämäärä lähetetään. Tiesitkö esimerkiksi, että useat ns. Älytelevisiot lähettävät tietoja takaisin valmistajalleen? He lähettävät kaikki katselutapasi joka kerta, kun vaihdat kanavaa. Jos liität USB-aseman niihin, ne lähettävät luettelon kaikista aseman tiedostonimistä. Tietoja ei ole salattu ja ne lähetetään, vaikka valikkoasetuksena olisi EI.
Poista etähallinta käytöstä. Ymmärrän, että joidenkin ihmisten on voitava määrittää verkko uudelleen etäyhteydellä. Jos sinulla on oltava, ainakin sallia https-käyttö ja vaihda oletusportti. Huomaa, että tämä sisältää minkä tahansa tyyppisen pilvipohjaisen hallinnan, kuten Linksys Smart WiFi -tilin ja Asus AiCloud.
Käytä vahvaa salasanaa reitittimen järjestelmänvalvojalle. Tarpeeksi sanottu. Reitittimien oletussalasanat ovat yleisesti tiedossa, etkä halua kenenkään kokeilevan oletuskorttia ja päästäksesi reitittimeen.
Ota HTTPS käyttöön kaikille järjestelmänvalvojan yhteyksille. Tämä on oletuksena poissa käytöstä monilla reitittimillä.
Rajoita saapuvaa liikennettä. Tiedän, että tämä on järkeä, mutta joskus ihmiset eivät ymmärrä tiettyjen asetusten seurauksia. Jos sinun on käytettävä portin edelleenlähetystä, ole erittäin valikoiva. Jos mahdollista, käytä epästandardia porttia määrittämääsi palvelua varten. On myös asetukset nimetön Internet-liikenteen suodattamiseen (kyllä) ja ping-vastaukselle (ei).
Käytä WPA2-salausta langattomaan verkkoon. Älä koskaan käytä WEP: tä. Se voidaan rikkoa muutamassa minuutissa ohjelmistoilla, jotka ovat vapaasti saatavilla Internetissä. WPA ei ole paljon parempi.
Poista WPS (WiFi-suojattu asennus) käytöstä . Ymmärrän WPS: n käytön mukavuuden, mutta aloittaminen oli huono idea.
Rajoita lähtevää liikennettä. Kuten edellä mainittiin, en yleensä pidä laitteista, jotka soittavat kotiin. Jos sinulla on tämäntyyppisiä laitteita, harkitse kaiken Internet-liikenteen estämistä niistä.
Poista käytöstä käyttämättömät verkkopalvelut, erityisesti uPnP. UPnP-palvelua käytettäessä on yleisesti tunnettu haavoittuvuus. Muut todennäköisesti tarpeettomat palvelut: Telnet, FTP, SMB (Samba / tiedostojen jakaminen), TFTP, IPv6
Kirjaudu ulos järjestelmänvalvojasivulta, kun se on valmis . Pelkkä web-sivun sulkeminen ulos kirjautumatta voi jättää todennetun istunnon avoinna reitittimessä.
Tarkista portin 32764 haavoittuvuus . Tietojeni mukaan jotkut Linksysin (Cisco), Netgearin ja Diamondin tuottamat reitittimet vaikuttavat niihin, mutta voi olla muita. Uudempi laiteohjelmisto julkaistiin, mutta se ei välttämättä korjata järjestelmää kokonaan.
Tarkista reitittimesi osoitteessa: https://www.grc.com/x/portprobe=32764
Ota hakkuut käyttöön . Etsi epäilyttävää toimintaa lokista säännöllisesti. Useimmilla reitittimillä on mahdollisuus lähettää lokit sinulle sähköpostitse tietyin väliajoin. Varmista myös, että kello ja aikavyöhyke on asetettu oikein, jotta lokit ovat oikein.
Seuraavat lisätoimenpiteet on harkittava todella turvallisuustietoisille (tai ehkä vain vainoharhaisille) henkilöille
Vaihda järjestelmänvalvojan käyttäjänimi . Kaikki tietävät, että oletus on yleensä järjestelmänvalvoja.
Luo vierasverkko . Monet uudemmat reitittimet pystyvät luomaan erillisiä langattomia vierasverkkoja. Varmista, että sillä on pääsy vain Internetiin, etkä lähiverkkoasi (intranet). Käytä tietysti samaa salausmenetelmää (WPA2-Personal) eri salasanalla.
Älä kytke USB-tallennustilaa reitittimeesi . Tämä sallii automaattisesti monet reitittimen palvelut ja saattaa paljastaa aseman sisällön Internetiin.
Käytä vaihtoehtoista DNS-palveluntarjoajaa . Käytät todennäköisesti mitä tahansa DNS-asetuksia, jotka ISP antoi sinulle. DNS: stä on tullut yhä enemmän hyökkäyskohteita. Jotkut DNS-palveluntarjoajat ovat ryhtyneet lisätoimiin palvelimiensa suojaamiseksi. Lisäbonuksena toinen DNS-palveluntarjoaja voi parantaa Internet-suorituskykyäsi.
Muuta oletus-IP-osoitealuetta lähiverkossa (sisällä) . Jokainen kuluttajaluokan reititin, jonka olen nähnyt, käyttää joko 192.168.1.x tai 192.168.0.x, mikä helpottaa automaattisen hyökkäyksen kirjoittamista.
Saatavilla olevat alueet ovat:
Mikä tahansa 10.x.x.x
Mikä tahansa 192.168.x.x
172.16.x.x - 172.31.x.x
Muuta reitittimen oletus LAN-osoitetta . Jos joku saa pääsyn LAN-verkkoon, hän tietää, että reitittimen IP-osoite on joko x.x.x.1 tai x.x.x.254; älä tee siitä helppoa heille.
Poista DHCP käytöstä tai rajoita sitä . DHCP: n poistaminen käytöstä ei yleensä ole käytännöllistä, ellet ole erittäin staattisessa verkkoympäristössä. Pidän parempana rajoittaa DHCP 10-20 IP-osoitteeseen alkaen x.x.x.101; Tämän avulla on helpompaa seurata verkossa tapahtuvaa. Pidän parempana 'pysyvien' laitteideni (pöytätietokoneet, tulostimet, NAS jne.) Staattisten IP-osoitteiden käyttämistä. Tällä tavalla vain kannettavat tietokoneet, tablet-laitteet, puhelimet ja vieraat käyttävät DHCP: tä.
Poista järjestelmänvalvojan pääsy langattomalta . Tämä toiminto ei ole käytettävissä kaikissa kotireitittimissä.
Poista SSID-lähetys käytöstä . Tätä ei ole vaikeaa ammattilaiselle voittaa, ja se voi tuskalla antaa kävijöille mahdollisuuden langattomaan verkkoosi.
Käytä MAC-suodatusta . Sama kuin edellä; hankala vierailijoille.
Jotkut näistä esineistä kuuluvat luokkaan 'Security by Obscurity', ja monet tietotekniikan ja tietoturvan ammattilaiset huijaavat heitä sanoen, etteivät ne ole turvatoimenpiteitä. Tavallaan ne ovat täysin oikeita. Jos kuitenkin on joitain toimia, joiden avulla voit vaikeuttaa verkon vaarantamista, mielestäni se kannattaa harkita.
Hyvää tietoturvaa ei ole ”asetettava ja unohda”. Olemme kaikki kuulleet monien suurimpien yritysten tietoturvaloukkauksista. Minulle todella ärsyttävä osa on, kun täällä heidät oli vaarannettu vähintään 3, 6, 12 kuukautta ennen kuin se löydettiin.
Ota aikaa tutkia lokit. Skannaa verkkoasi etsimällä odottamattomia laitteita ja yhteyksiä.
Alla on arvovaltainen viite: